În noaptea de duminică spre luni, 22 martie 2026, un atacator a reușit să emită 80 de milioane de tokeni USR fără acoperire, folosind o cheie privată compromisă a protocolului Resolv Labs.
Cu un depozit inițial de doar 100.000 de dolari în USDC, hackerul a primit înapoi 50 de milioane de tokeni USR, o sumă de aproximativ 500 de ori mai mare decât cea legitimă. A urmat o a doua tranșă de 30 de milioane de tokeni, apoi o vânzare agresivă pe piețele descentralizate care a trimis prețul USR de la un dolar la 0,025 dolari în mai puțin de 17 minute pe pool-ul Curve Finance.
Atacatorul a extras în total aproximativ 23,7 milioane de dolari în ETH, conform datelor on-chain.
Prețul USR a coborât ulterior până la 0,20 dolari, iar la momentul redactării acestui material se situa în jurul valorii de 0,27 dolari, foarte departe de paritatea cu dolarul american pe care ar fi trebuit să o mențină.
Incidentul pune sub semnul întrebării modul în care protocoalele DeFi își gestionează cheile private, eficacitatea reală a auditurilor de securitate și rezistența stablecoinilor construiți pe strategii delta-neutre.
Cum funcționa stablecoinul USR și ce promitea Resolv Labs?
Resolv Labs a fost construit ca un protocol de stablecoin descentralizat, diferit de modelele clasice susținute de rezerve în dolari sau alte monede fiat. USR era garantat cu Ethereum (ETH) și Bitcoin (BTC), iar stabilitatea sa depindea de o strategie denumită delta-neutră.
Concret, de fiecare dată când un utilizator depunea ETH pentru a primi tokeni USR, protocolul deschidea automat o poziție short de aceeași valoare pe piețele de contracte perpetuale. Acest echilibru între poziția long pe ETH și cea short pe futures neutraliza volatilitatea prețului, menținând valoarea USR aproape de un dolar. Randamentele proveneau din diferențele de funding rate dintre cele două poziții, iar protocolul nu avea nevoie de rezerve bancare sau de intervenția unei bănci centrale.
Modelul seamănă cu cel al Ethena și al stablecoinului USDe, dar Resolv a adăugat un element propriu: un sistem cu două tranșe de risc. Tokenul USR era destinat investitorilor care preferau stabilitate, în timp ce Resolv Liquidity Pool (RLP) funcționa ca un strat de protecție suplimentar.
Deținătorii de RLP acceptau riscurile strategiei delta-neutre și primeau în schimb randamente de 20-40% pe an. Dacă apărea o pierdere, RLP o absorbea primul, protejând deținătorii de USR.
Creșterea rapidă și semnalele de alarmă ignorate
Protocolul a crescut vertiginos după lansarea pe mainnet în septembrie 2024. Valoarea totală blocată (TVL) a urcat de la 37,4 milioane de dolari la 1 decembrie 2024 la peste 448 de milioane de dolari la 6 ianuarie 2025, conform datelor DeFiLlama. Capitalizarea de piață a USR a explodat în aceeași perioadă, de la 13,7 milioane la 387 de milioane de dolari. La vârf, TVL-ul Resolv a atins 684 de milioane de dolari.
Proiectul atrăsese investitori de renume. În aprilie 2025, Resolv Labs a finalizat o rundă de finanțare seed de 10 milioane de dolari, cu Cyber.Fund și Maven 11 în frunte, alături de Coinbase Ventures, Arrington Capital și Animoca Ventures.
Pe site-ul oficial, echipa prezenta 14 angajamente de audit de la cinci firme de securitate, un program de bug bounty pe Immunefi dotat cu recompense de până la 500.000 de dolari și parteneriate de monitorizare cu Hypernative.
Dar cifrele din lunile care au precedat atacul spuneau altceva. TVL-ul protocolului scăzuse de la circa 400 de milioane de dolari la doar 95 de milioane înainte de exploit, o contracție de 75% care s-a desfășurat relativ rapid. Unii analiști on-chain au atras atenția că o retragere atât de abruptă ar putea indica fie o pierdere generalizată de încredere, fie ieșiri coordonate ale unor investitori mari care anticipau probleme.
Mecanismul exploitului: o cheie privată și zero verificări
Atacul asupra Resolv Labs nu a implicat o eroare de programare și nici o vulnerabilitate ascunsă într-un contract inteligent. Codul a funcționat exact cum fusese scris. Problema a fost mai profundă și, paradoxal, mai simplă: arhitectura din spatele procesului de emitere a tokenilor USR se baza pe o singură cheie privată, fără mecanisme suplimentare de siguranță.
Procesul de creare a tokenilor USR se desfășura în două etape. În prima etapă, utilizatorul depunea USDC într-un contract și trimitea o cerere de emitere, denumită requestSwap. În a doua etapă, un serviciu off-chain controlat de o cheie privată privilegiată, numită SERVICE_ROLE, valida cererea și autoriza emiterea tokenilor USR prin funcția completeSwap. Problema era că acest serviciu nu conținea niciun mecanism care să verifice dacă suma depusă corespunde cu numărul de tokeni emiși. Contractul nu avea o limită maximă de emitere per tranzacție, nu consulta un oracol de preț, nu impunea un raport minim între colateral și tokenii generați.
Atacatorul a compromis cheia privată SERVICE_ROLE prin accesul la serviciul AWS Key Management Service folosit de Resolv, conform analizei publicate de Chainalysis. Cu această cheie în mână, a putut autoriza emiterea oricărei cantități de tokeni, la orice raport dorea, fără ca sistemul să ridice vreo alertă.
Prima operațiune s-a petrecut în jurul orei 2:21 UTC. Atacatorul a depus 100.000 de dolari în USDC și a autorizat emiterea a 50 de milioane de tokeni USR. Ulterior, a mai emis încă 30 de milioane, ajungând la un total de aproximativ 80 de milioane de tokeni fără nicio acoperire reală.
Cum au fost transformați tokenii fără valoare în 23 de milioane de dolari?
Cu 80 de milioane de tokeni USR în portofel, atacatorul a trecut imediat la lichidare. A convertit USR în varianta staked, wstUSR, apoi a schimbat tokenii pe stablecoinii USDC și USDT pe mai multe platforme descentralizate. D2 Finance, o firmă de analiză DeFi care a monitorizat tranzacțiile în timp real, a descris operațiunea drept o retragere executată cu precizie și la viteză maximă.
Presiunea de vânzare a fost copleșitoare. Pe pool-ul Curve Finance, unde USR avea cea mai mare lichiditate cu un volum zilnic de 3,6 milioane de dolari, prețul s-a prăbușit la 0,025 dolari în doar 17 minute de la prima emitere. Lichiditatea s-a evaporat pe măsură ce pool-urile au fost golite, iar pe unele tranzacții USR s-a vândut la prețuri de doar 50 de cenți.
La sfârșitul operațiunii, atacatorul deținea 11.409 ETH în portofelul principal, echivalentul a aproximativ 23,7 milioane de dolari la prețul din acea zi. Un al doilea portofel, identificat de cercetătorii de securitate ca aparținând aceluiași actor, conținea aproximativ 1,1 milioane de dolari în tokeni wstUSR. Portofelele sunt monitorizate de PeckShield, Cyvers, D2 Finance și alți cercetători independenți.
Răspunsul echipei Resolv și măsurile imediate
Echipa Resolv Labs a confirmat incidentul printr-o declarație pe platforma X (fostul Twitter), precizând că un actor rău intenționat a obținut acces neautorizat la infrastructura protocolului prin intermediul unei chei private compromise. Funcțiile de emitere și răscumpărare au fost oprite imediat, iar întregul protocol a fost pus în pauză.
Echipa a ținut să sublinieze un aspect important: pool-ul de colateral al protocolului a rămas intact. ETH-ul și BTC-ul deținute ca garanție nu au fost sustrase. Paguba a provenit din crearea de tokeni suplimentari, fără acoperire, care au diluat masiv valoarea celor deja existenți pe piață.
Resolv Labs a anunțat colaborarea cu forțe de ordine și firme specializate în analiză on-chain pentru identificarea atacatorului și recuperarea fondurilor. De asemenea, echipa a cerut utilizatorilor să evite tranzacționarea tokenilor USR pe durata procesului de recuperare, avertizând că activitatea de piață din această perioadă ar putea complica eforturile de remediere.
Aproximativ 9 milioane de tokeni USR au fost deja eliminați din circulație (burned) pentru a reduce parțial efectul inflației artificiale.
Efectul în cascadă: cum au fost lovite și alte protocoale DeFi
Poate cel mai alarmant aspect al acestui exploit a fost viteza cu care daunele s-au extins dincolo de Resolv. Stablecoinul USR fusese integrat ca activ acceptat în mai multe protocoale de creditare descentralizată, iar prăbușirea prețului a declanșat pierderi în lanț.
Morpho Labs, un protocol de creditare bazat pe un model de curatori, a fost cel mai vizibil afectat. Morpho permite managerilor terți, numiți curatori, să creeze pool-uri personalizate de împrumut cu parametri proprii de risc. Curatori precum Gauntlet, Re7 Labs, kpk și 9summits creaseră vault-uri cu expunere directă la USR. Când prețul a căzut, aceste vault-uri au suferit pierderi proporționale.
Situația a fost agravată de un detaliu tehnic: unele servicii automatizate de furnizare a lichidității au continuat să alimenteze vault-urile cu USR chiar și la ore bune după exploit, amplificând pierderile. Omer Goldberg, fondatorul Chaos Labs, a semnalat public această problemă. Paul Frambot, cofondatorul Morpho, a confirmat că aproximativ 15 vault-uri cu lichiditate de peste 10.000 de dolari au fost afectate, dar a precizat că nu există nicio vulnerabilitate în contractele Morpho. Merlin Egalite, un alt cofondator, a adăugat că riscul a fost asumat individual de fiecare curator, nu de protocolul în sine.
Un alt vector de pierdere a fost arbitrajul oportunist. Traderi rapizi au putut cumpăra USR la prețul de piață de câțiva cenți și apoi să împrumute USDC pe baza evaluării hardcodate de 1 dolar pe token din contractele de lending, extrăgând lichiditate din vault-urile respective.
Aave, unul dintre cele mai mari protocoale DeFi de creditare, a precizat rapid că nu are nicio expunere la USR sau la Resolv Labs.
Stratul de protecție RLP a eșuat în a-și îndeplini rolul
Daunele nu s-au limitat doar la deținătorii de USR. Resolv Liquidity Pool (RLP), conceput tocmai pentru a absorbi pierderile și a proteja deținătorii de stablecoin, a fost și el atras în spirala negativă. Înainte de exploit, RLP avea aproximativ 38,6 milioane de dolari în circulație.
Cel mai mare deținător de RLP era Stream Finance, un protocol de randament care trecuse deja printr-o criză majoră: în noiembrie 2025, Stream pierduse 93 de milioane de dolari după ce un manager extern de fonduri deturnase active. Stream deținea o poziție de 13,6 milioane de tokeni RLP pe Morpho, cu o expunere netă de circa 17 milioane de dolari. Depozitanții Stream Finance se confruntau astfel cu a doua lovitură gravă în mai puțin de jumătate de an.
De ce 14 audituri de securitate nu au oprit atacul?
Protocolul Resolv Labs trecuse prin 14 angajamente de audit efectuate de cinci firme diferite. Avea un program activ de bug bounty pe Immunefi, cu competiții în care cercetătorii căutaseră vulnerabilități. Colabora cu Hypernative pentru monitorizare continuă a contractelor inteligente.
Cu toate acestea, funcția de emitere a tokenilor, care reprezintă cel mai sensibil mecanism din întregul protocol al unui stablecoin, a fost implementată fără verificări elementare. Contractul nu avea o limită maximă per emitere, nu consulta un oracol de preț pentru a valida raportul dintre depozit și tokenii generați, nu impunea aprobarea prin semnături multiple (multisig) și nici o perioadă de așteptare (timelock) pentru operațiunile de valoare mare.
Andrew Whong, cofondatorul platformei de analiză on-chain Herd, a observat că absența unor astfel de verificări de bază este greu de justificat pentru un protocol care gestiona sute de milioane de dolari. Cyvers, o firmă de securitate blockchain, a confirmat aceeași concluzie: contractele fuseseră auditate, dar exploitul a fost posibil tocmai pentru că validarea lipsea acolo unde conta cel mai mult.
Problema de fond este că auditurile de securitate din industria cripto se concentrează de regulă pe logica codului, pe vulnerabilitățile clasice precum reentrancy attacks sau overflow-uri, pe interacțiunile dintre contracte. Dar infrastructura off-chain, adică gestionarea cheilor private, configurarea serviciilor cloud, mecanismele de autorizare și procesele operaționale, rămâne adesea în afara perimetrului auditului. La Resolv, codul nu avea nicio eroare. Securitatea proceselor din jurul codului era cea care a cedat.
Dependența de o singură cheie privată, o vulnerabilitate structurală
Cazul Resolv expune o contradicție care revine constant în finanțele descentralizate: protocoale care se prezintă drept descentralizate, dar care funcționează pe baza unor componente centralizate critice. Întregul flux de emitere al USR depindea de o singură cheie privată. Cine controla acea cheie avea, de facto, control asupra întregii mase monetare a stablecoinului.
Ido Sofer, fondatorul firmei de gestionare a cheilor criptografice Sodot, a explicat într-o declarație pentru CoinDesk că existența unei chei privilegiate cu autoritate asupra funcțiilor unui contract nu este neobișnuită în sine. Majoritatea protocoalelor au astfel de chei. Problema apare când cheia respectivă devine singurul strat de protecție, fără redundanță sau mecanisme de siguranță suplimentare.
Sofer a mai observat că atacurile care vizează credențiale de acces, chei API, chei de deployment și alte elemente periferice ale securității sunt într-o creștere vizibilă. Aceste chei nu dețin fonduri direct, dar pot fi folosite pentru a le accesa indirect, ceea ce le transformă în ținte atractive.
Întregul model de securitate al Resolv se baza pe presupunerea că cheia SERVICE_ROLE nu va fi compromisă. Într-un ecosistem care se laudă cu eliminarea punctelor unice de eșec, aceasta rămâne o premisă fragilă.
Atacuri DeFi în 2026: un tipar care se repetă
Exploitul Resolv se adaugă unei serii de incidente majore din primele luni ale anului 2026. În ianuarie, Truebit a pierdut 26,6 milioane de dolari prin exploatarea unei vulnerabilități vechi de cinci ani dintr-un contract inteligent.
Tot în ianuarie, Makina Finance a pierdut circa 5 milioane de dolari după ce un atacator a manipulat oracolul protocolului folosind un flash loan. Balancer a suferit o breșă evaluată la 100 de milioane de dolari, iar Stream Finance a dezvăluit pierderea de 93 de milioane de dolari cauzată de un manager de fonduri.
Conform unui raport Immunefi publicat cu o săptămână înainte de incidentul Resolv, paguba medie a unui hack cripto se situează în jurul a 25 de milioane de dolari. Cele mai mari cinci exploituri din intervalul 2024-2025 au generat 62% din totalul fondurilor furate din protocoale DeFi.
Ceea ce diferențiază cazul Resolv de multe alte atacuri este tocmai absența unei erori de cod. Contractele au funcționat conform specificațiilor tehnice. Atacul a exploatat procesele operaționale și arhitectura de securitate, nu programarea.
Această distincție contează pentru că sugerează că auditurile tradiționale de cod, oricât de riguroase, nu sunt suficiente. Industria DeFi are nevoie de evaluări de securitate care includ și componenta operațională, de la gestionarea cheilor și a accesului la cloud, până la monitorizarea în timp real a anomaliilor on-chain.
Perspectivele de recuperare pentru deținătorii de USR
Situația rămâne neclară pentru cei care dețineau tokeni USR înainte de atac. Resolv Labs a anunțat că pregătește un mecanism de răscumpărare bazat pe tokenii aflați în circulație înainte de exploit, cu prioritate pentru utilizatorii incluși pe o listă de acces (allowlist).
Precedentele din industrie, în cazuri similare de emitere frauduloasă, au arătat că recuperările sunt posibile prin snapshot-uri pre-atac: tokenii emiși fraudulos sunt excluși din calcul, iar deținătorii legitimi primesc despăgubiri din colateralul rămas intact.
Vestea relativ bună este că ETH-ul și BTC-ul din pool-ul de colateral nu au fost furate direct. Colateralul există în continuare, iar echipa a confirmat integritatea sa. Problema este că numărul total de tokeni USR în circulație a crescut artificial prin emiterea celor 80 de milioane fără acoperire, ceea ce face ca valoarea de piață per token să fie mult sub un dolar. O restructurare va fi probabil necesară, iar detaliile tehnice nu au fost încă publicate.
La momentul redactării, USR se tranzacționa la aproximativ 0,27 dolari. Tokenul de guvernanță RESOLV a scăzut cu circa 9% față de nivelul pre-exploit.
Ce ar trebui să rețină investitorii din acest incident?
Prăbușirea stablecoinului USR readuce în discuție câteva principii de securitate pe care piața cripto le repetă, dar le aplică rar integral.
Securitatea operațională trebuie tratată cu aceeași seriozitate ca securitatea codului. Un audit care verifică doar logica unui contract inteligent fără a analiza cine deține cheile de acces, cum sunt gestionate aceste chei și ce mecanisme de siguranță există în jurul lor nu oferă decât o garanție parțială.
Funcțiile critice, cum ar fi emiterea de tokeni, ar trebui protejate prin cerințe de semnături multiple, limite maxime per tranzacție, verificări prin oracole de preț și sisteme automate de detectare a anomaliilor care pot bloca tranzacțiile suspecte înainte ca daunele să se materializeze.
Interconectivitatea ecosistemului DeFi amplifică fiecare incident. Protocoale precum Morpho, care delegă gestionarea riscurilor către curatori terți, funcționează bine în condiții normale. Dar atunci când un activ acceptat ca garanție își pierde brusc valoarea, daunele se propagă în cascadă prin vault-uri, pool-uri de lichiditate și platforme de creditare. Modelul de curatori transferă responsabilitatea juridică, dar riscul sistemic rămâne.
Creșterea rapidă a TVL-ului nu garantează maturitatea unui protocol. Resolv a trecut de la sub 50 de milioane de dolari la peste 650 de milioane în câteva luni, impulsionat în mare parte de strategii de leverage looping pe Morpho și Euler. Acest tip de creștere atrage capital și integrări, dar nu înseamnă automat că infrastructura de securitate a ținut pasul cu volumele gestionate.
Comunitatea DeFi solicită din nou implementarea unor măsuri de protecție mai robuste pentru contractele de emitere, monitorizare în timp real a activității on-chain și audituri care să depășească simpla revizuire a codului sursă. Într-un sector care gestionează miliarde de dolari și aspiră să devină o alternativă viabilă la sistemul financiar tradițional, standardele de securitate rămân, în multe cazuri, sub nivelul necesar.
Situația Resolv Labs continuă să evolueze. Echipa a promis actualizări pe măsură ce investigația avansează, iar portofelele atacatorului sunt monitorizate activ de mai multe firme de securitate blockchain.
