coin-img-ETHETH+4.07%coin-img-BTCBTC+2.89%coin-img-SOLSOL+4.37%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.92%coin-img-LUCKLUCK-50.44%coin-img-AITOAITO-48.01%coin-img-XRPXRP+4.59%coin-img-ETHETH+4.07%coin-img-BTCBTC+2.89%coin-img-SOLSOL+4.37%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.92%coin-img-LUCKLUCK-50.44%coin-img-AITOAITO-48.01%coin-img-XRPXRP+4.59%coin-img-ETHETH+4.07%coin-img-BTCBTC+2.89%coin-img-SOLSOL+4.37%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.92%coin-img-LUCKLUCK-50.44%coin-img-AITOAITO-48.01%coin-img-XRPXRP+4.59%coin-img-ETHETH+4.07%coin-img-BTCBTC+2.89%coin-img-SOLSOL+4.37%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.92%coin-img-LUCKLUCK-50.44%coin-img-AITOAITO-48.01%coin-img-XRPXRP+4.59%

La stablecoin USR de Resolv pierde la paridad tras un hackeo: acuñan 80 millones de tokens sin respaldo y roban 25 millones de dólares en ETH

Las stablecoins se han convertido en el puente entre las finanzas tradicionales y el ecosistema Web3. Por eso, cualquier fallo de estabilidad o seguridad tiene un impacto inmediato. El último ejemplo llega con USR, la stablecoin de Resolv, que se desplomó tras un ataque que vuelve a poner el foco en los riesgos de la DeFi. El 22 de marzo de 2025, atacantes explotaron una vulnerabilidad en el contrato de acuñación de USR y generaron en torno a 80 millones de tokens sin respaldo. Con esos activos, lograron extraer aproximadamente 25 millones de dólares en ETH. La cotización de USR llegó a tocar 0,025 dólares en Curve y después rebotó hasta la zona de 0,85 dólares, aunque la paridad con el dólar seguía sin recuperarse. I. Qué ocurrió: emisión fraudulenta y venta masiva Varias firmas de seguridad on-chain señalan que el ataque comenzó alrededor de las 02:21 UTC. La cuenta de X YieldsAndMore fue la primera en alertar, aportando transacciones de Etherscan. El atacante depositó 100.000 USDC en el contrato USR Counter de Resolv y recibió 50 millones de USR, unas 500 veces más de lo que cabría esperar. A continuación, ejecutó una segunda operación con la que acuñó otros 30 millones de USR. USR se define como una stablecoin referenciada al dólar con estrategia de cobertura delta-neutral y respaldo en ETH y BTC, no en reservas fiduciarias. Según DEX Screener, el token cayó hasta 0,025 dólares en apenas 17 minutos en su pool con mayor liquidez en Curve Finance. Más tarde rebotó hacia 0,85 dólares, pero el domingo por la mañana aún no había recuperado el anclaje. Para materializar el botín, el atacante utilizó una dirección que empieza por 0x04A2 para canjear los USR recién creados por USDC y USDT en un DEX y convertir después el resultado a ETH. En el momento de publicación, esa cartera mantenía 11.409 ETH, valorados en unos 23,7 millones de dólares. Otra cartera atribuida al mismo actor retenía tokens wstUSR por un valor aproximado de 1,1 millones de dólares. Resolv Labs comunicó en X que había suspendido todas las funciones del protocolo. Aseguró que el pool de colateral estaba "completamente intacto" y que no había "pérdida de activos subyacentes", situando el problema en un alcance "limitado al mecanismo de emisión de USR". II. Origen de la vulnerabilidad: permisos privilegiados y controles insuficientes Los analistas atribuyen el fallo a un rol de acuñación privilegiado controlado por una cuenta externa, sin límites de emisión ni comprobaciones mediante oráculos. El analista on-chain Andrew Hong señaló el SERVICE_ROLE del protocolo, una cuenta con privilegios para atender solicitudes de swap. Ese rol estaba bajo una cuenta EOA estándar, no un monedero multifirma. El contrato de acuñación tampoco incorporaba verificaciones con oráculo, validación de cantidades ni topes máximos de mint. D2 Finance, un fondo DeFi, planteó tres posibles explicaciones: manipulación del oráculo, compromiso de firmantes off-chain o ausencia de validación entre la solicitud de acuñación y su ejecución. YieldsAndMore coincidió en que la gobernanza y los controles de seguridad no estaban a la altura del tamaño del protocolo. Deddy Lavid, CEO de Cyvers, explicó a The Block: "Confiar solo en auditorías no basta: si no monitorizas la acuñación y la oferta en tiempo real, te quedas ciego en los momentos más críticos". III. Impacto en los tenedores: inflación de oferta y estrés de liquidez Aunque Resolv defiende que el colateral subyacente no se tocó, el daño económico para los usuarios fue inmediato. El ataque operó como una inflación de oferta: al inyectar 80 millones de tokens nuevos se diluyó a los tenedores existentes y, con la venta agresiva, se destruyó la liquidez disponible. Quien mantenía USR en ese momento asumió pérdidas de forma instantánea. El depeg también se trasladó a mercados de préstamo DeFi. USR y su derivado en staking wstUSR se aceptaban como colateral en plataformas como Morpho y Gauntlet. Parte del flujo especulativo pudo consistir en comprar USR con descuento y pedir prestado USDC valorándolo a 1 dólar, drenando liquidez de stablecoins en estas bóvedas. D2 Finance indicó que bóvedas de Morpho gestionadas por Gauntlet se vieron afectadas. Las pérdidas podrían alcanzar además a las participaciones subordinadas del sistema. El Resolv Liquidity Pool (RLP), concebido como capa de seguro para absorber pérdidas y proteger a los tenedores de USR, contaba con unos 38,6 millones de dólares en fondos en circulación al precio previo al exploit. Según YieldsAndMore, Stream posee 13,6 millones de participaciones de RLP con una exposición neta de aproximadamente 17 millones de dólares, lo que abre la puerta a nuevas pérdidas para sus depositantes. La debilidad ya se reflejaba en el tamaño del proyecto: de acuerdo con CoinMarketCap, la capitalización de USR pasó de unos 400 millones de dólares a principios de febrero a alrededor de 100 millones antes del ataque. Tras el incidente, el token de gobernanza RESOLV cayó cerca de un 8,5% en las últimas 24 horas. IV. Contexto: Resolv y el repunte de hackeos en DeFi Resolv cerró una ronda semilla de 10 millones de dólares en abril de 2025, liderada por Cyber.Fund y Maven11, con participación de Coinbase Ventures, Arrington Capital y Animoca Ventures, y con incubación de Delphi Labs. En su web, Resolv afirma haber completado 14 auditorías para cinco compañías, contar con un programa de recompensas por bugs de 500.000 dólares en Immunefi y ofrecer servicios de monitorización continua de smart contracts. El incidente se suma a la oleada de hackeos en DeFi en 2026. En enero, Truebit perdió 26,6 millones de dólares tras explotarse una vulnerabilidad de un contrato desplegado cinco años antes. Ese mismo mes, el pool de stablecoins de Makina Finance perdió alrededor de 5 millones de dólares después de que atacantes manipularan el oráculo mediante flash loans. Un informe de Immunefi publicado la semana pasada sitúa la pérdida media por hackeo cripto en torno a 25 millones de dólares, y atribuye el 62% de todos los fondos robados entre 2024 y 2025 a los cinco mayores incidentes. V. Presión regulatoria: foco en las stablecoins con rendimiento El momento también es relevante desde el prisma regulatorio. En EE. UU., los legisladores debaten cómo encajar las stablecoins con rendimiento dentro de la GENIUS Act. La American Bankers Association ha advertido de que estos productos podrían desviar depósitos de la banca tradicional. Varios senadores clave alcanzaron el viernes pasado un "acuerdo de principios" sobre el tratamiento de los rendimientos en stablecoins. Conclusión USR, la stablecoin de Resolv, sufrió una ruptura de paridad después de que un atacante acuñara 80 millones de tokens sin respaldo y se hiciera con aproximadamente 25 millones de dólares en ETH. El caso expone los puntos débiles de protocolos DeFi complejos en materia de diseño de contratos, control de accesos y supervisión, y reabre el debate sobre los riesgos de las stablecoins de alta rentabilidad sin un marco regulatorio claro.
Seleccionado
ETH
ETH+4.09%
BTC
BTC+2.98%
Descargo de responsabilidad: El contenido anterior es solo la opinión del autor y no representa la postura de BingX. No debe interpretarse como un consejo de inversión por parte de BingX. Para obtener más información, consulta los Términos y condiciones.