20 000 $ échangés contre près de 100 millions, une autre attaque sur un stablecoin DeFi

marsbitPublié le 2026-03-22Dernière mise à jour le 2026-03-22

Résumé

Le protocole Resolv Labs, qui émet la stablecoin USR via une stratégie delta neutre, a été victime d’une attaque le 10 mars. Un pirate a exploité une faille dans le mécanisme de minting : le rôle SERVICE_ROLE, normalement contrôlé par le backend du projet, a été compromis, permettant à l’attaquant de frauduleusement mintre 50 millions d’USR avec seulement 100 000 USDC, puis de répéter l’opération pour 30 millions supplémentaires. L’USR a chuté à 0,25 $ avant de remonter autour de 0,80 $. Le piratage a également impacté les marchés de prêt sur Morpho et Lista DAO, tandis que Stream Finance, détenteur de millions de RLP (jeton à risque), subit une exposition significative. La faille provenait d’une absence de vérification on-chain et de limites de minting, le contrat faisant une confiance aveugle aux paramètres fournis par SERVICE_ROLE. Les mesures d’urgence, nécessitant multiples signatures, ont été trop lentes. Cette attaque souligne la nécessité de validations redondantes et de mécanismes de pause rapide.

Rédigé par : Eric, Foresight News

Aujourd'hui à 10:21 heure de Pékin, Resolv Labs, qui émet le stablecoin USR en utilisant une stratégie delta neutre, a été victime d'une attaque de pirate. L'adresse commençant par 0x04A2 a utilisé 100 000 USDC pour frapper 50 millions d'USR à partir du protocole Resolv Labs.

Suite à l'exposition de l'événement, l'USR a chuté à environ 0,25 dollar, remontant à environ 0,8 dollar au moment de la rédaction. Le prix du jeton RESOLV a également enregistré une baisse maximale à court terme de près de 10%.

Ensuite, le pirate a réitéré la méthode en utilisant à nouveau 100 000 USDC pour frapper 30 millions d'USR. Avec le décrochage important de l'USR, les traders d'arbitrage sont rapidement passés à l'action. De nombreux marchés de prêt sur Morpho supportant l'USR, le wstUSR, etc. comme collatéral ont été presque vidés, et Lista DAO sur BNB Chain a également suspendu les nouvelles demandes de prêt.

Les protocoles affectés ne se limitent pas à ces marchés de prêt. Dans la conception du protocole Resolv Labs, les utilisateurs peuvent également frapper un jeton RLP, dont le prix est plus volatile et le rendement plus élevé, mais qui nécessite de assumer la responsabilité de l'indemnisation en cas de perte du protocole. Actuellement, le nombre de jetons RLP en circulation est proche de 30 millions, le plus grand détenteur, Stream Finance, détenant plus de 13 millions de RLP, avec une exposition nette aux risques d'environ 17 millions de dollars.

Oui, Stream Finance, qui avait déjà été touché une fois par l'effondrement du xUSD, pourrait être frappé à nouveau.

Au moment de la rédaction, le pirate a converti l'USR en USDC et USDT, et continue d'acheter de l'Ethereum, ayant déjà acheté plus de 10 000 ETH. Avec 200 000 USDC, le pirate a extorqué des actifs d'une valeur supérieure à 20 millions de dollars, trouvant sa « crypto à 100x » pendant le marché baissier.

Une autre faille exploitée à cause d'un manque de rigueur

La forte baisse du 11 octobre dernier a entraîné des pertes de collatéral pour de nombreux stablecoins émis via des stratégies delta neutres en raison de l'ADL (Auto-Deleveraging). Les projets utilisant des altcoins comme actifs pour exécuter leurs stratégies ont subi des pertes encore plus importantes, certains ayant même purement et simplement disparu.

Resolv Labs, victime de cette attaque, utilise un mécanisme similaire pour émettre l'USR. Le projet avait annoncé en avril 2025 avoir levé 10 millions de dollars en financement de démarrage (seed round) mené par Cyber.Fund et Maven11, avec la participation de Coinbase Ventures, et avait lancé son jeton RESOLV fin mai début juin.

Mais la raison de l'attaque contre Resolv Labs n'est pas due à des conditions de marché extrêmes, mais à une conception « pas assez rigoureuse » du mécanisme de frappe de l'USR.

Aucune entreprise de sécurité ou officiel n'a encore analysé la cause de cet incident de piratage. La communauté DeFi YAM a tiré une conclusion préliminaire après analyse : l'attaque est probablement due au fait que le SERVICE_ROLE, utilisé par le backend du protocole pour fournir des paramètres au contrat de frappe, a été contrôlé par le pirate.

Selon l'analyse de Grok, lorsqu'un utilisateur frappe de l'USR, il initie une requête on-chain et appelle la fonction requestMint du contrat, dont les paramètres incluent :

_depositTokenAddress : l'adresse du jeton déposé ;

_amount : le montant déposé ;

_minMintAmount : le montant minimum d'USR attendu (protection contre le slippage).

Ensuite, l'utilisateur dépose de l'USDC ou de l'USDT dans le contrat, le backend du projet (SERVICE_ROLE) surveille la requête, utilise l'oracle Pyth pour vérifier la valeur de l'actif déposé, puis appelle la fonction completeMint ou completeSwap pour décider du nombre réel d'USR à frapper.

Le problème réside dans le fait que le contrat de frappe fait entièrement confiance au _mintAmount fourni par SERVICE_ROLE, supposant que ce chiffre a été vérifié off-chain par Pyth. Il n'a donc pas fixé de limite supérieure et n'a pas effectué de vérification on-chain par oracle, exécutant directement mint(_mintAmount).

Sur cette base, YAM soupçonne que le pirate a contrôlé le SERVICE_ROLE qui devrait normalement être sous le contrôle de l'équipe du projet (peut-être en raison d'une perte de contrôle de l'oracle interne, de détournement interne ou du vol de clés). Lors de la frappe, il a directement défini _mintAmount sur 50 millions, réalisant ainsi l'attaque consistant à frapper 50 millions d'USR avec 100 000 USDC.

En fin de compte, la conclusion donnée par Grok est que Resolv, lors de la conception du protocole, n'a pas envisagé la possibilité que l'adresse (ou le contrat) utilisée pour recevoir les demandes de frappe des utilisateurs puisse être contrôlée par un pirate. Lorsque la demande de frappe d'USR est soumise au contrat final de frappe, aucun montant de frappe maximum n'a été fixé, et le contrat de frappe n'a pas effectué de double vérification avec un oracle on-chain, faisant simplement confiance à tous les paramètres fournis par SERVICE_ROLE.

La prévention était également insuffisante

Outre la spéculation sur la cause du piratage, YAM a également souligné le manque de préparation de l'équipe du projet face à la crise.

YAM a déclaré sur X que Resolv Labs n'a suspendu le protocole que 3 heures après la première attaque du pirate, dont environ 1 heure de retard était due à la collecte des 4 signatures nécessaires pour la transaction multisig. YAM estime que la suspension d'urgence ne devrait nécessiter qu'une seule signature, et que les autorisations devraient être attribuées autant que possible aux membres de l'équipe ou à des opérateurs externes de confiance, afin d'accroître l'attention portée aux anomalies on-chain, d'améliorer la possibilité d'une suspension rapide et de mieux couvrir les différents fuseaux horaires.

Bien que la suggestion d'une suspension du protocole avec une seule signature soit quelque peu radicale, le fait de nécessiter plusieurs signatures couvrant différents fuseaux horaires pour suspendre le protocole peut effectivement causer des retards importants en cas d'urgence. L'introduction d'un tiers de confiance surveillant en continu le comportement on-chain, ou l'utilisation d'outils de surveillance disposant de permissions de suspension d'urgence du protocole, sont des leçons à tirer de cet événement.

Les attaques de pirates contre les protocoles DeFi ne se limitent plus depuis longtemps aux seules vulnérabilités des contrats. L'événement de Resolv Labs sert d'avertissement pour les équipes de projet : l'hypothèse en matière de sécurité du protocole devrait être de ne faire confiance à aucun maillon de la chaîne. Tous les maillons impliquant des paramètres doivent faire l'objet d'au moins une double vérification, même le backend exploité par l'équipe du projet elle-même.

Questions liées

QQuel est le montant initial utilisé par le pirate pour attaquer Resolv Labs et quel a été le gain final ?

ALe pirate a utilisé 200 000 USDC pour créer frauduleusement près de 80 millions de USR, puis les a convertis en actifs d'une valeur de plus de 20 millions de dollars, réalisant un profit d'environ 2000%.

QQuel mécanisme de défaillance a permis l'attaque contre Resolv Labs ?

AL'attaque a été possible car le contrat de minting faisait entièrement confiance au paramètre _mintAmount fourni par SERVICE_ROLE, sans limite supérieure ni vérification en chaîne par un oracle, permettant au pirate de contrôler ce rôle et de mintir des quantités arbitraires de USR.

QQuelles ont été les conséquences de l'attaque sur le prix de USR et sur les protocoles de prêt ?

ALe prix de USR est tombé à environ 0,25 dollar avant de remonter à 0,8 dollar. Les marchés de prêt sur Morpho utilisant USR comme collatéral ont été vidés, et Lista DAO sur BNB Chain a suspendu les nouvelles demandes de prêt.

QQuelle entité a été particulièrement touchée par cette attaque et pourquoi ?

AStream Finance a été gravement touché, détenant plus de 13 millions de RLP, avec une exposition nette d'environ 17 millions de dollars, car le jeton RLP est conçu pour assumer les pertes du protocole.

QQuelles leçons en matière de sécurité les projets DeFi peuvent-ils tirer de cet incident ?

ALes projets doivent éviter de faire confiance à un seul point de contrôle, implémenter des vérifications multiples en chaîne, définir des limites de minting, et avoir des mécanisme de pause d'urgence rapides et efficaces pour répondre aux incidents.

Lectures associées

Strategy efface la vente de Bitcoin de la semaine dernière avec un achat de 1 550 BTC

La société de trésorerie bitcoin Strategy a annoncé l'acquisition majeure de 1 550 BTC, effaçant ainsi l'impact de sa vente de 32 BTC la semaine dernière. Cet achat d'environ 101 millions de dollars porte ses réserves totales à un record de 845 256 BTC. Le président Michael Saylor et le PDG Phong Le ont réaffirmé la stratégie d'accumulation continue de bitcoin. Parallèlement, l'entreprise a ajouté 100 millions de dollars à sa réserve de liquidités, portant celle-ci à 1 milliard de dollars, financée par des ventes d'actions. Cette reprise des achats contraste avec les sorties nettes hebdomadaires des ETF spot bitcoin américains, qui ont connu une quatrième semaine consécutive de retraits, totalisant 1,72 milliard de dollars la semaine dernière. Pendant ce temps, le prix du bitcoin évolue autour de 63 400 dollars, en baisse de près de 12% sur sept jours.

bitcoinistIl y a 17 mins

Strategy efface la vente de Bitcoin de la semaine dernière avec un achat de 1 550 BTC

bitcoinistIl y a 17 mins

MicroStrategy ne mourra pas de cette chute : réflexivité, retour de l’STRC à sa valeur nominale et logique d'auto-sauvetage « vendez des actions, pas du Bitcoin »

Cet article analyse la récente baisse rapide du BTC et ses répercussions sur MicroStrategy (MSTR) et ses actions privilégiées convertibles (STRC). L'auteur y voit une attaque spéculative ciblant MSTR, exploitant les craintes du marché sur sa liquidité après un rachat de dette convertible et la vente de 32 BTC. Ce scénario illustre le principe de réflexivité : la baisse des prix renforce la perception d'une crise, ce qui accentue la pression vendeuse. L'article explique que la chute des STRC, malgré leur structure prioritaire, reflète une prime de risque accrue due aux inquiétudes sur les flux de trésorerie de MSTR. Cependant, en tant qu'obligation à taux flottant, le prix des STRC devrait à terme revenir à sa valeur nominale de 100. Pour résoudre la crise de liquidité perçue, l'auteur soutient que MSTR devrait éviter de vendre ses BTC, ce qui nuirait à son récit stratégique et à sa prime de valeur nette ajustée (mNAV). Au lieu de cela, avec un mNAV supérieur à 1, l'entreprise devrait émettre de nouvelles actions pour renforcer sa trésorerie. Cette approche préserverait la prime, le ratio de BTC par action et améliorerait le taux d'endettement, tout en rassurant les détenteurs de STRC. Vendre des BTC, bien que pouvant apaiser les craintes à court terme, compromettrait le modèle de croissance à long terme et rendrait MSTR plus vulnérable à de futures attaques spéculatives.

marsbitIl y a 36 mins

MicroStrategy ne mourra pas de cette chute : réflexivité, retour de l’STRC à sa valeur nominale et logique d'auto-sauvetage « vendez des actions, pas du Bitcoin »

marsbitIl y a 36 mins

Humanity détourné de 31 millions de dollars : une clé privée fait chuter le prix du jeton de 90 %

Le 9 juin, le projet d'identité numérique Humanity Protocol a subi une attaque majeure résultant de la compromission d'une clé privée d'un membre de la fondation. Cette fuite a permis à des attaquants de voler plus de 31 millions de dollars sur des centaines de portefeuilles détenteurs du token H. Environ 9 millions de dollars ont été convertis en ETH. En réaction, le fondateur Terence Kwok a confirmé l'incident et conseillé aux utilisateurs d'éviter toute interaction avec le pont cross-chain ou les pools de liquidité du projet. Le cours du token H s'est effondré de plus de 90%, chutant d'environ 0,7 USDT à un plus bas de 0,052 USDT, réduisant sa capitalisation de 2 milliards à environ 35,7 millions de dollars. L'attaquant aurait également frappé 100 millions de nouveaux tokens H pour les vendre contre des BNB. Ce revers intervient dans un contexte déjà difficile pour Humanity Protocol. En 2025, des révélations avaient indiqué qu'environ 88% de ses identités utilisateur n'étaient pas véritablement vérifiées biologiquement, remettant en cause son argument principal de lutte contre les robots. Des soupçons concernant l'origine du projet et la collecte de données biométriques (empreintes palmaires) avaient également émergé. Le fondateur, Terence Kwok, avait précédemment dirigé Tink Labs, une startup qui a brûlé 1,7 milliard de dollars de financement avant de faire faillite. L'attaque actuelle, attribuée à une simple gestion défaillante d'une clé privée sans mesures de sécurité comme le multisig, porte un coup sévère à la crédibilité du projet dans un écosystème DeFi où les pertes dues aux pirates ont déjà dépassé 1 milliard de dollars depuis début 2026. Aucun plan d'indemnisation des utilisateurs victimes n'a été annoncé pour le moment.

marsbitIl y a 38 mins

Humanity détourné de 31 millions de dollars : une clé privée fait chuter le prix du jeton de 90 %

marsbitIl y a 38 mins

Humanity perd 31 millions de dollars, une clé privée fait chuter le prix du token de 90%

Une attaque contre le projet d'identité numérique Humanity Protocol a conduit au vol de plus de 31 millions de dollars. L'incident, survenu le 9 juin, résulterait de la compromission d'une clé privée appartenant à un membre de la fondation. L'attaquant a drainé des fonds de centaines de portefeuilles, converti une partie en ETH, et aurait même frappé 100 millions de nouveaux jetons H pour les vendre. Le cours du jeton H s'est effondré d'environ 90%, passant de 0,7 USDT à un plus bas de 0,052 USDT, réduisant sa capitalisation de 2 milliards à environ 35,7 millions de dollars. Fondé en 2024, Humanity Protocol promettait une vérification d'identité humaine via la biométrie palmiste et les preuves à connaissance nulle. Cependant, le projet était déjà controversé. Peu après son lancement en juin 2025, des révélations ont indiqué que jusqu'à 88% de ses utilisateurs pourraient être des robots, remettant en cause son affirmation centrale. Des allégations concernant l'origine du code et des inquiétudes sur la collecte de données biométriques avaient également émergé. Le fondateur, Terence Kwok, est l'ancien dirigeant de Tink Labs, une start-up du matériel hôtelier qui a brûlé 1,7 milliard de dollars de financement avant de faire faillite en 2020. L'équipe a confirmé l'attaque, conseillant aux utilisateurs d'éviter ses ponts et pools de liquidités, et collabore avec des experts en sécurité. Aucun plan d'indemnisation des utilisateurs n'a été annoncé pour l'instant. Cet événement met en lumière les risques permanents d'une mauvaise gestion des clés privées dans le secteur.

Foresight NewsIl y a 58 mins

Humanity perd 31 millions de dollars, une clé privée fait chuter le prix du token de 90%

Foresight NewsIl y a 58 mins

Comment utiliser les Dynamic Workflows de Claude pour effectuer des recherches approfondies

L’article explore comment utiliser la fonctionnalité **Dynamic Workflows** de Claude Code pour mener des recherches approfondies. L’auteur explique que les recherches techniques présentent souvent des pièges, car l’abondance d’informations peut brouiller les conclusions. Bien que l’IA excelle dans l’exécution et la synthèse, elle a tendance à se perdre dans les détails et manque de capacité à faire des liens transversaux. **Dynamic Workflows** permet à l’IA de concevoir automatiquement un flux de travail adapté à une tâche avant de l’exécuter, intégrant des mécanismes de validation, de convergence des résultats et de vérification contradictoire. La fonction est accessible via la commande `/deep-research` dans Claude Code, mais consomme beaucoup plus de tokens qu’une conversation standard. L’article détaille six modes de flux intégrés : 1. **Routeur (Classify-and-Act)** : Un agent central dirige la tâche vers l’agent spécialisé le plus adapté. 2. **Diviser-fusionner (Fan-out & Merge)** : La tâche est divisée en sous-tâches parallèles, dont les résultats sont ensuite fusionnés. 3. **Vérification contradictoire (Adversarial Verification)** : Plusieurs agents contestent une conclusion pour en valider la solidité. 4. **Générer-filtrer (Generate & Filter)** : Plusieurs solutions sont générées, puis filtrées selon des critères stricts. 5. **Tournoi (Tournament)** : Les propositions sont comparées par paires pour sélectionner la meilleure. 6. **Boucle (Loop)** : Le processus itère jusqu’à ce que des critères de validation soient satisfaits. L’auteur compare ces flux à son propre système de recherche, notant que la version officielle ajoute une **décomposition préalable des problèmes**, une **évaluation de la crédibilité des sources**, une **suppression des doublons par vote** et une **production orientée vers l’objectif initial**. Cela résout des problèmes courants comme la dérive des objectifs, l’arrêt prématuré, la pollution du contexte et les biais de confirmation. En conclusion, **Dynamic Workflows** structure le processus de recherche, réduisant le nombre d’interactions nécessaires et améliorant la profondeur et la fiabilité des analyses. Cependant, certaines limites persistent, comme la difficulté à valider des faits en dehors des sources officielles, le manque de créativité véritablement transversale, et la complexité à concevoir et vérifier des solutions pratiques ou à adapter la synthèse à différents publics.

marsbitIl y a 1 h

Comment utiliser les Dynamic Workflows de Claude pour effectuer des recherches approfondies

marsbitIl y a 1 h

Trading

Spot
Futures
活动图片

Catégories populairesright-arrow

Tags tendancesright-arrow