Un atacante explotó una vulnerabilidad en el contrato de acuñación de USR, stablecoin de Resolv, el 22 de marzo de 2026, creando aproximadamente 80 millones de tokens no respaldados a partir de unos $200,000 en USDC y extrayendo unos $25 millones, lo que provocó que USR cayera a $0.025 en Curve antes de recuperarse parcialmente a alrededor de $0.85.
El exploit se originó por un rol de acuñación privilegiado controlado por una sola cuenta externa (EOA) sin límites de acuñación ni validación de oráculo, permitiendo al atacante acuñar 50 millones de USR en una transacción y 30 millones en otra. Resolv Labs pausó todas las funciones del protocolo tras el incidente y afirmó que su pool de colaterales “permanece completamente intacto” sin pérdida de “activos subyacentes”, aunque los titulares existentes de USR enfrentaron pérdidas inmediatas por dilución de la oferta.
El atacante convirtió los stablecoins acuñados en aproximadamente 11,409 ETH (valorados en unos $23.7 millones) y posee además $1.1 millones en tokens USR envueltos.
Mecánica del ataque y vulnerabilidades técnicas
Cronología del exploit
El ataque comenzó alrededor de las 2:21 a.m. UTC del 22 de marzo, con la primera transacción en la que el atacante depositó 100,000 USDC en el contrato USR Counter de Resolv y recibió a cambio 50 millones de USR—aproximadamente 500 veces la cantidad esperada. Una segunda transacción acuñó otros 30 millones de USR. A los 17 minutos de la primera acuñación, USR cayó a $0.025 en su pool más líquido de Curve Finance.
Causa raíz: controles de acceso débiles
El analista en cadena Andrew Hong atribuyó la brecha a la cuenta con privilegios SERVICE_ROLE, que realiza solicitudes de intercambio. Vulnerabilidades críticas incluyeron:
Control de EOA único: El ROLE de servicio era controlado por una cuenta externa estándar en lugar de una wallet multisignature.
Sin límites de acuñación: El contrato de acuñación no tenía límites máximos.
Sin validación de oráculo: No se implementaron verificaciones de oráculo para validar precios o respaldo de colaterales.
Falta de validación de cantidades: No se verificaron las solicitudes de acuñación respecto a las finalizadas.
El fondo DeFi D2 Finance propuso tres posibles explicaciones para el exploit: manipulación del oráculo, compromiso del firmante fuera de cadena, o ausencia de validación de cantidades entre solicitud y finalización de acuñación.
Contexto del análisis post-mortem de seguridad
El sitio web de Resolv promocionaba 14 auditorías de cinco firmas, un bounty de $500,000 en Immunefi y monitoreo continuo de contratos inteligentes. A pesar de estas medidas, el protocolo seguía siendo vulnerable a lo que los expertos en seguridad describen como un “punto ciego” en la cobertura de seguridad—claves y credenciales sensibles que no contienen fondos directamente, pero que pueden usarse para acceder a ellos.
Ido Sofer, CEO de Sodot, firma de gestión de claves, comentó: “Esto se relaciona con una tendencia creciente de ataques que se enfocan en el punto ciego de los equipos de seguridad: claves y credenciales sensibles que no contienen fondos directamente, pero que pueden usarse para acceder a ellos.”
Impacto en el mercado y pérdidas de usuarios
Caída y recuperación del precio de USR
USR, una stablecoin vinculada al dólar que utiliza una estrategia de cobertura delta-neutral respaldada por ETH y BTC en lugar de reservas fiduciarias, cayó a $0.025 en Curve en 17 minutos tras la primera acuñación. Posteriormente, se recuperó a aproximadamente $0.85, pero aún no ha restablecido su paridad al domingo por la mañana.
Daño en liquidez y colaterales
El ataque creó 80 millones de nuevos tokens, diluyendo la oferta existente. La venta de USR acuñado por parte del atacante en USDC, USDT y finalmente ETH eliminó la liquidez del pool. Quienes tenían USR en ese momento enfrentaron pérdidas inmediatas.
La depegging se propagó a los mercados de préstamos DeFi. USR y su derivado stakeado wstUSR fueron aceptados como colateral en plataformas como Morpho y Gauntlet. Traders oportunistas compraron USR a su precio de mercado con descuento y tomaron préstamos en USDC contra él valorado en $1, drenando liquidez de los vaults afectados.
Exposición en la capa de seguro RLP
El daño podría extenderse a la tranche junior de Resolv, el Resolv Liquidity Pool (RLP), que funciona como una capa de seguro para absorber pérdidas y proteger a los titulares de USR. YieldsAndMore indicó que RLP tenía aproximadamente $38.6 millones en circulación a precios previos al exploit. El mayor poseedor de RLP es Stream Finance, un protocolo de rendimiento que reportó una pérdida de $93 millones en noviembre de 2025 tras la apropiación indebida de activos por parte de un gestor externo. Stream posee una posición de 13.6 millones de RLP en Morpho, equivalente a aproximadamente $17 millones en exposición neta, lo que significa que sus depositantes podrían enfrentar otra pérdida significativa.
Antecedentes del protocolo y contexto de la industria
Resolv en resumen
Resolv, con sede en Abu Dhabi, recaudó $10 millones en una ronda semilla en abril de 2025, liderada por Cyber.Fund y Maven11, con participación de Coinbase Ventures, Arrington Capital y Animoca Ventures. Incubado en Delphi Labs, el protocolo ofrecía rendimiento mediante arbitraje de tasas de financiación y un sistema de doble tranche que combina USR con la capa de seguro RLP, que asume riesgos.
Antes del ataque, la capitalización de mercado de USR ya había caído de aproximadamente $400 millones a principios de febrero a unos $100 millones. El token de gobernanza RESOLV cayó aproximadamente un 8.5% tras el incidente.
Tendencias de exploits en DeFi en 2026
El incidente de Resolv se suma a una serie creciente de exploits en criptomonedas en 2026:
Enero 2026: Truebit perdió $26.6 millones tras que un atacante explotara una vulnerabilidad en un contrato inteligente desplegado hace cinco años.
Enero 2026: Makina Finance perdió aproximadamente $5 millones en un pool de stablecoins tras un ataque de manipulación de oráculo con flash loans.
Un informe de Immunefi publicado la semana pasada encontró que el costo promedio de un hackeo en cripto ahora es de unos $25 millones, y los cinco mayores exploits en 2024-2025 representaron el 62% de todos los fondos robados.
Contexto regulatorio
El momento del exploit coincide con debates legislativos activos en EE. UU. sobre la regulación de stablecoins con rendimiento bajo la ley GENIUS. La Asociación de Banqueros Americanos advirtió que estos productos podrían desviar depósitos de los bancos tradicionales, y senadores clave alcanzaron un “acuerdo en principio” sobre el tratamiento del rendimiento de stablecoins el 20 de marzo de 2026.
Preguntas frecuentes
¿Cómo funcionó el exploit de Resolv USR?
El atacante explotó una vulnerabilidad en el contrato de acuñación de Resolv, donde un rol privilegiado (SERVICE_ROLE) era controlado por una sola cuenta externa sin límites de acuñación, validación de oráculo ni verificaciones de cantidad. Depositó 100,000 USDC y recibió 50 millones de USR (500 veces lo esperado), luego acuñó otros 30 millones en una segunda transacción, creando aproximadamente 80 millones de tokens no respaldados.
¿Resolv perdió su respaldo colateral?
Resolv Labs afirmó que su pool de colaterales “permanece completamente intacto” sin activos subyacentes perdidos. Sin embargo, esta afirmación subestima el daño, ya que el ataque tomó la forma de inflación de oferta en lugar de robo directo de activos de respaldo. Los 80 millones de nuevos tokens diluyeron la oferta existente de USR, y la venta del atacante eliminó la liquidez del pool, causando pérdidas inmediatas a los titulares de USR.
¿Cuál fue el impacto financiero total del exploit?
El atacante extrajo aproximadamente $25 millones, convirtiendo USR acuñado en 11,409 ETH (valorados en unos $23.7 millones) y manteniendo $1.1 millones en tokens USR envueltos. Los titulares de USR enfrentaron pérdidas por dilución de la oferta, y las plataformas de préstamos DeFi que aceptaron USR como colateral experimentaron drenajes de liquidez a medida que los traders explotaron la depegging para pedir prestado contra valoraciones infladas.
