Además del hackeo de Resolv, este tipo de vulnerabilidad en DeFi ya ha ocurrido cuatro veces

marsbitPublié le 2026-03-24Dernière mise à jour le 2026-03-24

Résumé

En una tranquila mañana de domingo, un atacante convirtió aproximadamente 100.000 dólares en 25 millones en solo 17 minutos explotando una vulnerabilidad en el protocolo de stablecoin Resolv. El ataque provocó que su stablecoin USR se desplomara un 70%, cotizando a solo 0.25 dólares. El mecanismo clave fue el acceso a una clave privilegiada de firma (SERVICE_ROLE), que permitió al atacante autorizar la acuñación de 80 millones de USR sin límite máximo. Esta USR recién creada se utilizó luego como colateral en mercados de préstamos como Morpho y Fluid, donde los oráculos seguían valorándola en 1 dólar a pesar de su colapso en el mercado abierto. Esto permitió a los actores tomar préstamos muy por encima del valor real del colateral, generando millones en deuda incobrable. Este no es un incidente aislado: en los últimos 14 meses, ha ocurrido al menos cuatro veces que stablecoins desancladas se valoran a 1 dólar en protocolos de lending. El modelo de 'curators' o gestores de riesgo, que externalizan la gestión de riesgo y tienen incentivos para buscar mayores rendimientos, está bajo escrutinio. Analistas señalan que el problema no es un error de código, sino un fallo sistémico en el diseño y la infraestructura fuera de la cadena.

En una tranquila mañana de domingo, alguien convirtió 100.000 dólares en 25 millones en unos 17 minutos.

El objetivo fue el protocolo de stablecoin de rendimiento Resolv. Antes de que Resolv suspendiera sus contratos, su stablecoin vinculada al dólar, USR, había caído a centavos. Al momento de escribir este artículo, el USR aún está severamente desvinculado, cotizando a aproximadamente 0,25 dólares, con una caída de más del 70% esta semana.

El impacto fue mucho más allá del propio Resolv. Fluid/Instadapp absorbió más de 10 millones de dólares en deuda incobrable en un solo día, experimentando el mismo día una salida neta de más de 300 millones de dólares, un récord histórico de salidas diarias. 15 vaults de Morpho se vieron afectados. Euler, Venus, Lista DAO e Inverse Finance suspendieron sucesivamente los mercados relacionados con USR.

El mecanismo que permitió que esta vulnerabilidad se propagara —valorar una stablecoin desvinculada a 1 dólar en los mercados de préstamos— no es nuevo. Esto ha sucedido al menos cuatro veces en los últimos 14 meses.

Cómo funciona la vulnerabilidad

La acuñación de USR seguía un proceso de dos pasos fuera de la cadena: los usuarios depositaban USDC a través de la función `requestSwap`, y una clave de firma fuera de la cadena con privilegios, `SERVICE_ROLE` `, finalizaba la cantidad de USR a emitir mediante `completeSwap`.

El contrato tenía un límite mínimo de salida, pero no un límite máximo. El contrato ejecutaba lo que el titular de la clave firmaba.

El atacante obtuvo acceso a esta clave a través del servicio de gestión de claves AWS de Resolv. Presentaron dos depósitos de USDC, por un total de aproximadamente 100.000 a 200.000 dólares, y luego utilizaron la clave robada para autorizar la acuñación de 80 millones de USR como contrapartida. Los datos en cadena muestran dos transacciones de 50 millones de USR y 30 millones de USR, ambas completadas en minutos.

«La vulnerabilidad de Resolv USR no es un bug, es una función que funcionaba según el diseño. Ese es el problema», dijo el analista en cadena Vadim (@zacodil).

SERVICE_ROLE era una dirección de cuenta externa normal, no una multisig. La clave de administrador estaba protegida por multisig, pero la clave de acuñación no.

«Resolv fue auditado 18 veces», dijo Vadim, «y uno de los hallazgos se llamaba literalmente 'Falta de límite máximo'».

El atacante salió metódicamente: primero convirtió el USR acuñado en wstUSR (versión envuelta y apostada) para ralentizar el impacto en el mercado, y luego lo intercambió por ETH a través de Curve, Uniswap y KyberSwap. La billetera del atacante contenía unos 11.400 ETH (unos 24 millones de dólares). Los pools de garantía de ETH y BTC que respaldaban todo el sistema permanecieron intactos mientras la stablecoin colapsaba.

Cómo se propagó el contagio

La vulnerabilidad de Resolv fue en realidad dos eventos superpuestos. El primero fue la vulnerabilidad de acuñación, el segundo fue el fallo en cadena de los mercados de préstamos.

Cuando USR y wstUSR colapsaron, cada mercado de préstamos que los aceptaba como garantía enfrentó el mismo problema: sus oráculos seguían valorando wstUSR cerca de 1 dólar.

El fundador de la firma de análisis de riesgo Chaos Labs, Omer Goldberg, documentó este mecanismo. Su hallazgo central fue: «El oráculo estaba codificado de forma rígida (hardcoded), por lo que nunca se revalorizó. wstUSR estaba marcado a 1,13 dólares, mientras que en el mercado secundario se negociaba a unos 0,63 dólares».

Los traders compraban wstUSR a bajo precio en el mercado abierto, luego lo usaban como garantía en Morpho o Fluid al precio del oráculo de 1,13 dólares, tomaban prestado USDC y se iban.

En Fluid, el equipo consiguió préstamos a corto plazo para cubrir el 100% de la deuda incobrable y se comprometió a indemnizar a todos los usuarios por completo. En Morpho, el cofundador Paul Frambot dijo que alrededor de 15 vaults tenían una exposición significativa, todos en estrategias de garantía de cola larga y alto riesgo.

El conocido curator Gauntlet declaró: «La exposición en varios vaults de alto rendimiento es limitada».

Pero D2 Finance refutó directamente esta afirmación, publicando datos en cadena que mostraban que el principal «USDC Core Vault» de Gauntlet había asignado 4,95 millones de dólares al mercado wstUSR/USDC. Goldberg luego afirmó que los vaults de Gauntlet representaban el 98% de la liquidez de los prestamistas en ese mercado.

Frambot, respondiendo por escrito a The Defiant, dijo: «Siempre hemos estado trabajando en cómo presentar los riesgos de manera más completa. Sin embargo, no creemos que el problema central aquí sea la falta de etiquetado».

Frambot añadió: «Morpho es independiente del oráculo, lo que significa que permite a los curators elegir el oráculo que consideren más adecuado para un mercado específico. Morpho es una infraestructura abierta y sin permisos, cuyo diseño externaliza la gestión de riesgos a los curators».

«Es difícil imponer protecciones objetivamente 'correctas' en todos los escenarios», dijo Frambot, «y imponer restricciones a nivel de protocolo también conlleva el riesgo de obstaculizar estrategias legítimas».

Aunque el protocolo subyacente deja la gestión de riesgos a los curators, algunos en la industria creen que los curators no están cumpliendo con su deber.

«Creo que la industria de los curators está diseñada de manera defectuosa, porque en realidad no hay una verdadera curación ocurriendo», dijo Marc Zeller en X.

Al cierre de esta edición, Resolv, Gauntlet y Fluid no respondieron a las solicitudes de comentarios de The Defiant.

Un patrón de fallo recurrente

Esto no es un ataque nuevo. En enero de 2025, el USD0++ de Usual Protocol fue codificado a 1 dólar en los vaults de Morpho por el curator MEV Capital.

Usual luego ajustó repentinamente, sin previo aviso, el precio mínimo de recompra a 0,87 dólares, dejando a los prestamistas bloqueados en el vault de MEV Capital, cuya utilización se disparó al 100%.

En noviembre de 2025, el xUSD de Stream Finance colapsó después de que un curator hubiera dirigido depósitos de USDC hacia un bucle de apalancamiento respaldado por esta stablecoin sintética. Cuando su oráculo se negó a actualizarse, se estimó que entre 285 y 700 millones de dólares en activos estaban en riesgo en Morpho, Euler y Silo.

Moonwell sufrió dos fallos de oráculo consecutivos en octubre y noviembre de 2025, que generaron conjuntamente más de 5 millones de dólares en deuda incobrable.

Qué significa esto para el modelo de curator

La arquitectura de Morpho externaliza todas las decisiones de riesgo a «curators» terceros, que construyen los vaults, eligen la garantía, establecen los ratios de préstamo-valor (LTV) y seleccionan el oráculo. La teoría es que las instituciones especializadas tienen mayor experiencia, la competencia genera una mejor gestión de riesgos y el protocolo se encarga de hacer cumplir las reglas.

Pero los curators dependen de los rendimientos generados para cobrar tarifas, lo que crea un incentivo para aceptar garantías de mayor riesgo y mayor rendimiento (como stablecoins de rendimiento). El problema es que cuando estas stablecoins se desvinculan, las pérdidas las asumen los depositantes, no los curators.

En el incidente de Resolv, algunos robots automatizados de curators continuaron inyectando fondos en los vaults afectados horas después de la explotación, profundizando las pérdidas.

La razón para utilizar oráculos hardcodeados para stablecoins de rendimiento es evitar que la volatilidad a corto plazo dispare liquidaciones innecesarias. Pero esta protección solo funciona si la stablecoin se mantiene estable.

La firma de análisis en cadena Chainalysis, en un análisis posterior, dijo que se necesitan capacidades de detección en tiempo real en la cadena.

«Los contratos inteligentes en cadena funcionaban perfectamente. El problema claramente estaba en el diseño más amplio del sistema y la infraestructura fuera de la cadena», dijo la firma analítica.

Questions liées

Q¿Cómo funcionó exactamente la vulnerabilidad en Resolv que permitió al atacante convertir 100.000 dólares en 25 millones?

AEl atacante obtuvo acceso a la clave de firma fuera de cadena `SERVICE_ROLE` a través del servicio de gestión de claves AWS de Resolv. Depositó entre 100.000 y 200.000 USDC y utilizó la clave comprometida para autorizar fraudulentamente la acuñación de 80 millones de USR, que luego cambió por ETH en varios DEXs. El contrato no tenía un límite máximo de acuñación, por lo que ejecutó cualquier cantidad que la clave firmara.

Q¿Por qué el colapso de USR afectó a otros protocolos como Morpho y Fluid, y cuál fue el mecanismo de contagio?

ALos mercados de préstamo como Morpho y Fluid aceptaban USR y wstUSR como garantía. Sus oráculos seguían valorando estos activos cerca de 1 dólar (wstUSR a 1,13 $) mientras que en el mercado secundario se comerciaban a un precio muy inferior (~0,63 $). Esto permitió a los arbitrajistas comprar el stablecoin devaluado, usarlo como garantía sobrevalorada para tomar préstamos de activos estables (como USDC) y huir, generando deuda incobrable.

QSegún el artículo, este tipo de vulnerabilidad ha ocurrido antes. ¿Puedes nombrar al menos otros dos ejemplos mencionados?

ASí, el artículo menciona al menos cuatro instancias previas: el colapso de USD0++ de Usual Protocol en enero de 2025, la caída de xUSD de Stream Finance en noviembre de 2025, y dos fallos de oráculos consecutivos en Moonwell en octubre y noviembre del mismo año.

Q¿Qué papel jugaron los 'curators' (curadores) en esta vulnerabilidad y por qué se critica su modelo de negocio?

ALos 'curators' son entidades que gestionan los riesgos en protocolos como Morpho, eligiendo colateral, ratios de préstamo y oráculos. Se critica su modelo porque sus incentivos económicos (ganar fees por el rendimiento generado) los alienta a aceptar colateral de alto riesgo y alto rendimiento, como los stablecoins de yield. Cuando estos colapsan, las pérdidas las asumen los depositantes, no los curators, creando una asimetría de riesgo.

Q¿Qué conclusión principal extrae el análisis de Chainalysis sobre la causa raíz de este incidente?

AChainalysis concluyó que 'los contratos inteligentes en cadena funcionaron perfectamente. El problema claramente estuvo en el diseño más amplio del sistema y en la infraestructura fuera de la cadena (off-chain)'. Esto señala que la falla no fue técnica en el código del contrato, sino en el diseño del sistema, los controles de acceso a las claves y la configuración de los oráculos.

Lectures associées

Les signaux de fond historique réapparaissent ? Messari, évalué à 300 millions, vendu pour 10 millions

L'entreprise de données crypto Messari, autrefois valorisée à 300 millions de dollars, a été vendue pour un peu plus de 10 millions. Cette vente illustre une contraction plus large dans le secteur. Les plates-formes de données (DappRadar, Parsec), les médias (CoinDesk, Bankless) et même les géants comme Dune réduisent leurs effectifs ou ferment. Le financement VC s'est effondré, passant de 38,5 milliards de dollars par mois à 6,6 milliards en six mois, les capitaux et les talents se tournant massivement vers l'IA. Pourtant, plusieurs signaux historiques de fond du marché pourraient indiquer un point bas. Le prix du Bitcoin a chuté de près de 50%, l'indice de peur et de cupidité est en "peur extrême" depuis plus de 50 jours, et les détenteurs à long terme détiennent près de 80% de l'offre en circulation, un niveau associé aux creux des cycles précédents. L'activité des VC est revenue à ses niveaux de 2020, avant le "DeFi Summer". Certains investisseurs, comme Dragonfly Capital, lèvent même de nouveaux fonds pour profiter des faibles valorisations. La vente à bas prix de Messari, bien que douloureuse, pourrait s'inscrire dans ce schéma de capitulation qui a historiquement précédé les reprises majeures.

marsbitIl y a 38 mins

Les signaux de fond historique réapparaissent ? Messari, évalué à 300 millions, vendu pour 10 millions

marsbitIl y a 38 mins

Révision à la hausse de 50 % des expéditions de TPU de Google

Récemment, plusieurs institutions étrangères ont discrètement révisé à la hausse leurs prévisions d'expédition des unités de traitement Tensor (TPU) de Google, ajustant l'estimation pour 2027 de 10 millions à 15 millions d'unités, soit une augmentation de 50%. Cette révision positive impacte directement toute la chaîne d'approvisionnement en infrastructure de calcul pour l'IA. Les composants clés tels que les moteurs optiques NPO (associés 1:1 aux TPU), les modules optiques 1.6T, les commutateurs optiques OCS, les alimentations serveur, la fibre optique & les connecteurs MPO, et surtout le refroidissement liquide, bénéficient de cette dynamique. Le refroidissement liquide entre dans une phase d'accélération cruciale, car les nouvelles TPU à haute puissance rendent le refroidissement par air obsolète. Les prévisions indiquent un déploiement massif à partir de 2026. Les fabricants chinois, avec leur rapidité d'itération et leur capacité de production, saisissent cette opportunité pour pénétrer la chaîne d'approvisionnement de Google, remodelant le paysage concurrentiel. Parallèlement, la fibre optique, essentielle pour les interconnexions dans les centres de données d'IA, voit sa logique transformée : la demande explose tandis que l'offre (dépendante d'un cycle de production long de 18-24 mois pour les préformes) est tendue, conduisant à des contrats à long terme et une stabilisation des prix. Les exportations chinoises de fibre devraient capturer une part significative de ce marché. En résumé, la hausse des prévisions pour les TPU de Google renforce la visibilité sur la croissance pour les deux prochaines années, déplaçant l'accent des investissements vers les infrastructures de soutien au calcul, dont le refroidissement liquide et la fibre optique sont des bénéficiaires majeurs, aux côtés des composants optiques et des alimentations serveur.

marsbitIl y a 1 h

Révision à la hausse de 50 % des expéditions de TPU de Google

marsbitIl y a 1 h

Une fois l'effervescence autour des cryptomonnaies retombée, que veut vraiment Wall Street ?

Lorsque la frénésie autour des cryptomonnaies s’est dissipée, Wall Street a clairement montré ce qu’elle cherchait vraiment : non pas des récits de décentralisation, mais une infrastructure financière contrôlable, génératrice de rendements et conforme à la réglementation, construite sur des registres distribués. Le mouvement est mené par des acteurs comme BlackRock et Securitize. Le fonds BUIDL de BlackRock, un fonds de bons du Trésor américains à court terme tokenisés, a atteint une taille stable de 25 à 28 milliards de dollars, devenant un actif refuge sur la chaîne. Securitize, valorisé à 12,5 milliards de dollars, s’apprête à être coté au NYSE, qui prévoit de construire avec lui un système de règlement et de compensation d’actions fonctionnant 24h/24 sur une blockchain. Parallèlement, des produits structurés comme le futur ETF BITA de BlackRock transforment la volatilité du Bitcoin en un revenu stable, en vendant systématiquement des options d’achat couvertes sur son propre ETF spot IBIT. Ce mécanisme convertit un actif spéculatif en un produit de revenu standardisé, attirant ainsi les investisseurs institutionnels prudents. Dans le domaine des paiements, les stablecoins sont repensés comme de purs outils de transaction. Des entreprises comme Stripe et Mastercard intègrent des stablecoins conformes (USDC, PYUSD) pour permettre des règlements transfrontaliers instantanés et réduire les fonds gelés dans le système bancaire traditionnel. La législation GENIUS de 2025 a conforté ce modèle en interdisant les dividendes sur les stablecoins et en renforçant la surveillance du blanchiment d'argent. En résumé, Wall Street adopte la technologie blockchain pour reproduire et améliorer ses propres systèmes : titres traditionnels tokenisés, produits de revenu dérivés, et réseaux de paiement efficaces. L’objectif n’est pas de remplacer la finance traditionnelle, mais de la rendre plus efficace, plus liquide et entièrement intégrée au crédit souverain du dollar.

marsbitIl y a 1 h

Une fois l'effervescence autour des cryptomonnaies retombée, que veut vraiment Wall Street ?

marsbitIl y a 1 h

S’attacher au char de SpaceX : comment Cursor a atteint 60 milliards de dollars

L'article retrace l'ascension fulgurante de Cursor, une licorne de l'IA pour la programmation, fondée par le jeune prodige Michael Truell et ses camarades du MIT. De ses débuts comme simple éditeur de code alternatif, Cursor a explosé en 2023 en intégrant l'IA, atteignant des revenus annuels de plusieurs milliards de dollars et des millions d'utilisateurs. Cette croissance s'est accompagnée de défis structurels. Cursor était initialement très dépendant des modèles d'Anthropic, un partenaire qui est ensuite devenu un concurrent direct avec le lancement de Claude Code. Pour survivre, Cursor a déclaré l'état d'urgence et accéléré le développement de son propre modèle, Composer. Cependant, développer un modèle de pointe nécessite une puissance de calcul colossale. Pour y parvenir, Cursor s'est tourné vers SpaceX d'Elon Musk au printemps 2025, formant un partenariat stratégique. En échange de l'accès aux supercalculateurs de SpaceX, Cursor contribue à améliorer les capacités de programmation de Grok, le modèle d'IA de Musk. Cet accord inclut une option d'acquisition potentielle de Cursor par SpaceX pour 600 milliards de dollars. L'article souligne les tensions entre l'ambition de Cursor de devenir une entreprise indépendante de classe mondiale et les réalités de la dépendance aux fournisseurs de modèles et à la guerre des puces. La culture interne exigeante, avec ses processus de recrutement controversés incluant des essais de travail non rémunérés, reflète cette intensité. L'histoire de Cursor pose une question centrale : deviendra-t-elle l'éditeur de code de référence de la nouvelle génération, ou sera-t-elle finalement absorbée comme une pièce dans l'échiquier stratégique des géants de l'IA ?

marsbitIl y a 1 h

S’attacher au char de SpaceX : comment Cursor a atteint 60 milliards de dollars

marsbitIl y a 1 h

Kraken Prévoyait des Futures Perpétuels Régulés par la CFTC pour les Traders Professionnels Américains

Kraken prévoit de lancer des contrats à terme perpétuels régulés par la CFTC à destination des traders professionnels éligibles aux États-Unis. Ces produits, qui ne disposent pas de date d'expiration et utilisent des paiements de financement réguliers, seront proposés via la plateforme de dérivés Bitnomial, acquise par Kraken, et intégrés à l'interface Kraken Pro. Aux États-Unis, l'accès à ce type de produits dérivés, omniprésents sur les marchés cryptos internationaux, a été limité en raison de contraintes réglementaires. Cette initiative vise donc à combler cette lacune en offrant une voie régulée et nationale pour accéder à ces instruments essentiels à la liquidité et à la découverte des prix sur les marchés des cryptomonnaies. Les détails clés à surveiller concernent les critères d'éligibilité des traders, la conception des contrats, les actifs supportés, les conditions de marge et le développement de la liquidité à leur lancement. Le succès de ce lancement pourrait potentiellement ouvrir la voie à davantage de produits perpétuels régulés sur le marché américain.

bitcoinistIl y a 11 h

Kraken Prévoyait des Futures Perpétuels Régulés par la CFTC pour les Traders Professionnels Américains

bitcoinistIl y a 11 h

Trading

Spot
Futures

Articles tendance

Comment acheter RESOLV

Bienvenue sur HTX.com ! Nous vous permettons d'acheter Resolv (RESOLV) de manière simple et pratique. Suivez notre guide étape par étape pour commencer votre parcours crypto.Étape 1 : Création de votre compte HTXUtilisez votre adresse e-mail ou votre numéro de téléphone pour ouvrir un compte sur HTX gratuitement. L'inscription se fait en toute simplicité et débloque toutes les fonctionnalités.Créer mon compteÉtape 2 : Choix du mode de paiement (rubrique Acheter des cryptosCarte de crédit/débit : utilisez votre carte Visa ou Mastercard pour acheter instantanément Resolv (RESOLV).Solde :utilisez les fonds du solde de votre compte HTX pour trader en toute simplicité.Prestataire tiers :pour accroître la commodité d'utilisation, nous avons ajouté des modes de paiement populaires tels que Google Pay et Apple Pay.P2P :tradez directement avec d'autres utilisateurs sur HTX.OTC (de gré à gré) : nous offrons des services personnalisés et des taux de change compétitifs aux traders.Étape 3 : stockage de vos Resolv (RESOLV)Après avoir acheté vos Resolv (RESOLV), stockez-les sur votre compte HTX. Vous pouvez également les envoyer ailleurs via un transfert sur la blockchain ou les utiliser pour trader d'autres cryptos.Étape 4 : tradez des Resolv (RESOLV)Tradez facilement Resolv (RESOLV) sur le marché Spot de HTX. Il vous suffit d'accéder à votre compte, de sélectionner la paire de trading, d'exécuter vos trades et de les suivre en temps réel. Nous offrons une expérience conviviale aux débutants comme aux traders chevronnés.

282 vues totalesPublié le 2025.06.11Mis à jour le 2026.06.02

Comment acheter RESOLV

Discussions

Bienvenue dans la Communauté HTX. Ici, vous pouvez vous tenir informé(e) des derniers développements de la plateforme et accéder à des analyses de marché professionnelles. Les opinions des utilisateurs sur le prix de RESOLV (RESOLV) sont présentées ci-dessous.

活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow