Résoudre la perte due à l’exploit des caps à 34 millions de dollars avec une mise à niveau du contrat pour détruire les jetons du pirate

Resolv Labs a exécuté une mise à niveau de contrat on-chain le 6 avril 2026 afin de brûler définitivement 36,73 millions de jetons wstUSR et stUSR qui étaient sous le contrôle d’un attaquant, plafonnant la perte nette estimée du protocole issue de l’exploit du 22 mars à environ $34 millions.

L’attaquant a utilisé une clé privée compromise hébergée sur AWS pour frapper 80 millions de jetons USR non adossés avec seulement $100.000 à $200.000 de collatéral, en échangeant 34 millions d’USR contre 11.409 ETH (d’une valeur d’environ $24,5 millions) avant l’épuisement de la liquidité, tandis que les jetons restants ont été brûlés par la mise à niveau du protocole.

Resolv utilise une mise à niveau de contrat pour détruire les jetons du pirate

La transaction de mise à niveau, confirmée on-chain, a d’abord déballé le stUSR en USR avant d’envoyer les deux à l’adresse zéro, rendant les jetons irrécupérables par quiconque, y compris le pirate. Resolv avait auparavant mis le protocole en pause et proposé une prime white-hat de 10 %, mais le pirate n’a montré aucun intérêt pour une résolution pacifique, poussant l’équipe à exercer son pouvoir de mise à niveau pour détruire les jetons restants.

L’exploit a eu lieu le 22 mars 2026, lorsqu’un attaquant a utilisé une seule clé privée compromise hébergée sur AWS contrôlant le SERVICE_ROLE pour approuver deux mint importants. Le protocole a émis 80 millions de jetons USR non adossés alors que l’attaquant n’avait déposé que $100.000 à $200.000 de USDC en tant que collatéral. Le hacker a rapidement échangé 34 millions d’USR contre 11.409 ETH, soit environ $24,5 millions à l’époque, avant que la liquidité ne soit dépensée. Les jetons restants sont restés en sommeil dans les portefeuilles de l’exploiteur, principalement enveloppés en wstUSR.

Le depegging résultant des actions du hacker a fait chuter l’USR jusqu’à $0,025 sur Curve. La mise à niveau du contrat de Resolv a été critiquée par le passé comme un risque de centralisation, similaire aux leviers envisagés par d’autres projets tels que Flow, mais la manœuvre a effectivement plafonné les pertes totales estimées du protocole à environ $34 millions.

Les protocoles DeFi subissent l’effet de souffle de l’exploit Resolv

Des protocoles DeFi ayant une exposition aux coffres (vaults) de Resolv ont été pris dans l’effet de souffle. Les coffres Morpho ont absorbé des millions de créances irrécouvrables, déclenchant des sorties massives. Trading Strategy, une plateforme d’analytique DeFi, a noté que de nombreux coffres sont devenus illiquides à la suite de la compromission de la clé privée de Resolv, le collatéral devenant sans valeur du jour au lendemain. Certains coffres Morpho ont soudainement affiché des rendements élevés, mais ces coffres étaient illiquides, et les déposants étaient peu susceptibles de pouvoir retirer leurs fonds.

De bons curateurs ont empêché de nouveaux dépôts en fixant les dépôts maximum à zéro, mais la norme de vault ne prévoit pas de drapeau distinct pour les « vaults brisés », seulement « capacité maximale atteinte ». Trading Strategy met en liste noire manuellement les vaults problématiques, mais le processus prend du temps.

Le schéma plus large d’attaque DeFi se poursuit avec Drift et Balancer

L’exploit Resolv s’ajoute à un schéma sombre d’attaques DeFi à grande échelle. Quelques semaines avant Resolv, Balancer Labs, l’entité à but lucratif à l’origine du market maker automatisé pionnier, a annoncé qu’elle mettait fin à ses activités après avoir perdu $128 millions lors d’une attaque en novembre 2025. Le PDG de Balancer a cité des retombées juridiques en cours et le coût financier de l’attaque, qui a vidé les pools de liquidité via des interactions de coffres manipulées. Le Balancer DAO et le protocole restent en vie, mais la société de développement au cœur du dispositif a effectively mis fin à ses activités.

Le mois d’avril 2026 a commencé avec le rapport du protocole Drift faisant état d’une perte de $285 millions le 1er avril, liée à des hackers sponsorisés par l’État nord-coréen. Pour Resolv, présenter un chiffre final de pertes de $34 millions fournit une base claire pour la reprise, en achetant du temps au protocole que Balancer n’a pas eu. Les opérations restent en pause.

FAQ

Comment l’exploit de Resolv s’est-il produit ?

Un attaquant a compromis une seule clé privée hébergée sur AWS contrôlant le SERVICE_ROLE, lui permettant de frapper 80 millions de jetons USR non adossés avec seulement $100.000 à $200.000 de collatéral. Il a échangé 34 millions d’USR contre 11.409 ETH (≈$24,5 millions) avant l’épuisement de la liquidité. Resolv a ensuite brûlé les 36,73 millions de jetons restants via une mise à niveau de contrat.

Quelle est la perte estimée finale pour Resolv ?

La perte nette de Resolv est d’environ $34 millions. L’attaquant a extrait environ $24,5 millions en ETH, et la mise à niveau du protocole a empêché des pertes supplémentaires en détruisant les jetons restants détenus par le hacker.

Quels autres protocoles DeFi ont été affectés par des hacks récents ?

Balancer Labs a cessé ses activités après un hack de $128 millions en novembre 2025, et le protocole Drift a subi un exploit de $285 millions le 1er avril 2026. Les coffres Morpho ont également absorbé des dettes irrécouvrables provenant de l’incident Resolv, devenant illiquides et provoquant de très fortes sorties de fonds.