Resolv Labs a détruit 36,73 millions de stablecoins USR détenus par un attaquant à la suite d’une mise à niveau de contrat, le 6 avril 2026, après un exploit en mars au cours duquel une clé compromise a permis à l’attaquant de frapper 80 millions de tokens USR non adossés avec moins de $200,000 de collatéral initial et de déverser environ 34 millions d’USR contre 11,409 ETH (d’une valeur d’environ $24,5 millions).
L’incident a laissé le protocole face à une perte nette estimée d’environ $34 millions, malgré l’affirmation de Resolv Labs selon laquelle son pool de collatéral reste intact.
L’attaquant a exploité une clé de frappe hors chaîne pour imprimer des USR non adossés
L’exploit est né d’une défaillance critique dans le flux de frappe d’USR de Resolv. Un seul attaquant, utilisant une clé de service compromise dans un processus de frappe hors chaîne en deux étapes, a pu générer 80 millions de tokens USR non garantis. L’attaquant a ensuite déversé environ 34 millions d’USR sur plusieurs pools de liquidité DeFi, extrayant environ 11,409 ETH (évalués à environ $24,5 millions). Les USR restants détenus par l’attaquant ont ensuite été détruits par Resolv Labs via une mise à niveau de contrat, supprimant au total environ 46 millions d’USR de l’adresse de l’attaquant.
L’incident a fait perdre à l’USR sa parité, avec une chute jusqu’à $0.14 avant un rebond partiel vers la fourchette $0.23–$0.27. Des sociétés d’analyse on-chain ont estimé les profits de l’attaquant entre $23 millions et $25 millions alors que le token se décrochait sur Curve et d’autres pools de liquidité.
Resolv Labs utilise une mise à niveau de contrat pour brûler les avoirs du pirate
Environ une heure avant l’annonce, Resolv Labs a exécuté une mise à niveau de contrat qui a détruit 36,73 millions d’USR détenus par l’adresse de l’attaquant. L’équipe a supprimé un total d’environ 46 millions d’USR de l’adresse de l’attaquant via la mise à niveau. Cependant, la valeur déjà extraite en ETH—environ 11,409 ETH (d’une valeur d’environ $24.48 millions)—reste à l’adresse 0x8ED…81C, laissant le protocole face à un impact économique réel d’environ $34 millions.
Dans son post-mortem, Resolv Labs a souligné que son pool de collatéral « reste intact » malgré la frappe de 80 millions d’USR motivée par l’exploit. Toutefois, les fournisseurs de liquidité et les utilisateurs tirant parti (leveraged) sur des protocoles intégrés ont absorbé le dérapage de prix et forcé des sorties de position. Le protocole avait suspendu ses opérations après l’exploit et a déployé un plan de reprise.
Les risques de gestion des clés DeFi mis en évidence par l’exploit USR
L’exploit USR est devenu un cas d’étude des défaillances de gestion des clés dans la DeFi, suscitant des comparaisons avec d’autres échecs récents de stablecoins et une contagion des marchés de prêt. Chainalysis a décrit l’incident comme un cas dans lequel un attaquant a pu frapper des dizaines de millions de stablecoins non adossés et extraire une valeur d’environ $23 millions, mettant en évidence comment une clé de service compromise dans un processus de frappe hors chaîne peut se transformer en pertes systémiques.
Cet épisode souligne comment des contrôles privilégiés peuvent à la fois permettre et atténuer des défaillances catastrophiques dans des systèmes prétendument décentralisés. Pour les traders et les investisseurs, l’incident ravive des questions de longue date sur la capacité des stablecoins générateurs de rendement à se développer sans introduire de points de défaillance uniques. Les protocoles DeFi utilisant des stablecoins interopérables (composables) subissent désormais une pression renouvelée pour renforcer la logique de frappe, faire tourner les clés et traiter l’infrastructure back-end avec la même rigueur que des smart contracts audités.
FAQ
Comment l’exploit de Resolv Labs s’est-il produit ?
L’attaquant a compromis une clé de service dans le processus de frappe hors chaîne en deux étapes de Resolv, ce qui lui a permis de frapper 80 millions de tokens USR non adossés avec moins de $200,000 de collatéral initial. L’attaquant a ensuite déversé environ 34 millions d’USR contre 11,409 ETH (environ $24,5 millions) avant que Resolv ne brûle les avoirs restants via une mise à niveau de contrat.
Quel a été l’impact financier de l’exploit ?
L’attaquant a extrait environ 11,409 ETH d’une valeur d’environ $24,5 millions. Resolv Labs fait face à une perte nette estimée d’environ $34 millions, malgré la combustion de 36,73 millions d’USR détenus par l’attaquant. Le stablecoin USR s’est décorrélé de sa parité, chutant jusqu’à $0.14 avant de se rétablir partiellement.
Quelles mesures Resolv Labs a-t-elle prises après l’exploit ?
Resolv Labs a suspendu ses opérations, a déployé un plan de reprise et a utilisé une mise à niveau de contrat pour détruire 36,73 millions d’USR détenus par l’attaquant. L’équipe a retiré environ 46 millions d’USR de l’adresse de l’attaquant. Le protocole a déclaré que son pool de collatéral reste intact malgré l’exploit.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
