Uma grande vulnerabilidade no sistema de emissão de stablecoins USR da Resolv desencadeou o hack da Resolv, causando uma grave disrupção no mercado em várias plataformas DeFi interconectadas.
Summary
Como o exploit da stablecoin USR se desenrolou
No domingo, um atacante sofisticado mirou na infraestrutura de emissão de USR da Resolv e gerou aproximadamente 80 milhões de tokens sem lastro, drenando cerca de $25 milhões em Ether (ETH) do protocolo. O exploit destacou como uma única fraqueza na lógica de emissão de uma stablecoin pode desencadear uma crise de mercado mais ampla.
A atividade maliciosa começou por volta das 2:21 a.m. UTC, quando o perpetrador depositou 100,000 USDC no contrato USR Counter da Resolv. Em troca, o atacante recebeu um anômalo 50 milhões USR — aproximadamente 500 vezes o montante legítimo. Uma transação subsequente produziu mais 30 milhões de tokens. Juntas, essas ações inflaram a oferta de USR sem qualquer colateral correspondente.
Após a emissão não autorizada, o atacante sistematicamente trocou o USR fraudulento por USDC e USDT em várias exchanges descentralizadas. Além disso, o explorador então consolidou os lucros em ETH. De acordo com dados on-chain, a carteira do atacante atualmente detém 11,409 ETH, avaliados em aproximadamente $23.7 milhões aos preços de mercado vigentes.
Desvalorização brutal na Curve e grandes perdas para os detentores de USR
O USR, projetado para manter uma paridade de preço de $1, experimentou um colapso quase imediato. Apenas 17 minutos após a primeira emissão anômala, o token caiu para $0.025 na Curve Finance. No entanto, o preço logo ensaiou uma recuperação parcial, subindo para cerca de $0.85, mas permaneceu profundamente desvalorizado durante toda a manhã de domingo.
A Resolv Labs anunciou no X que suspendeu todas as operações do protocolo. A equipe enfatizou que o pool de colateral “permanece totalmente intacto” e insistiu que “nenhum ativo subjacente” foi comprometido, enquadrando o problema como “isolado à mecânica de emissão de USR”. Dito isso, a reação do mercado indicou que os usuários estavam longe de estar tranquilos.
Analistas de blockchain rapidamente apontaram que os detentores existentes de USR suportaram o peso do dano. A súbita entrada de 80 milhões de novos tokens diluiu maciçamente a oferta circulante. Além disso, a venda agressiva do atacante drenou a liquidez dos pools disponíveis. Qualquer investidor que detinha USR durante o incidente enfrentou perdas imediatas e significativas em seu portfólio.
Comprometimento de conta privilegiada do protocolo e salvaguardas de emissão
Pesquisadores de segurança logo rastrearam o exploit até controles de acesso críticos. O analista de segurança de blockchain Andrew Hong identificou a origem da violação em uma conta privilegiada designada como SERVICE_ROLE. Este papel altamente sensível era supostamente gerido por uma única conta de propriedade externa, em vez de uma estrutura de carteira multisignature mais segura.
O contrato de emissão de USR supostamente carecia de proteções chave, como verificação robusta de oráculo, validação adequada de quantidades e limites máximos de emissão. No entanto, essa fraqueza de design pode ter interagido com uma falha operacional mais profunda: a exposição de credenciais privilegiadas. O incidente destacou como papéis de governança podem se tornar pontos únicos de falha se não forem devidamente reforçados.
A empresa de segurança Pashov, que anteriormente auditou o módulo de staking da Resolv em julho de 2025, disse ao Cointelegraph que a causa raiz parece ser um comprometimento de chave privada em vez de uma falha no design arquitetônico central. Dito isso, a empresa enfatizou que mesmo protocolos bem auditados permanecem vulneráveis se as práticas de gerenciamento de chaves e segurança operacional não forem rigorosas.
Deddy Lavid, CEO da Cyvers, alertou que auditorias sozinhas não podem fornecer segurança completa. “Auditorias sozinhas não são suficientes. Se você não está monitorando a emissão e o fornecimento em tempo real, você está cego quando mais importa,” ele disse, destacando a necessidade de monitoramento contínuo e automatizado de ações privilegiadas.
Auditorias extensivas, recompensas por bugs e lacunas de monitoramento em tempo real
A documentação oficial da Resolv lista 14 compromissos de auditoria conduzidos por cinco empresas de segurança distintas. O projeto também anuncia um programa de recompensas por bugs de $500,000 na Immunefi, juntamente com sistemas de vigilância de contratos inteligentes em andamento. No entanto, o ataque bem-sucedido mostra que mesmo investimentos extensivos em segurança podem ser minados por uma única falha operacional.
Observadores da indústria notaram que a escala da perda está alinhada com tendências mais amplas. Um relatório recente da Immunefi descobriu que o hack médio de criptomoeda agora causa aproximadamente $25 milhões em danos. Além disso, os cinco maiores exploits durante 2024–2025 representaram 62% do valor total roubado no setor, sublinhando uma concentração persistente de risco.
Nesse contexto, o hack da Resolv serve como um estudo de caso nos limites das auditorias pré-implantação e recompensas por bugs. Vigilância contínua on-chain, gerenciamento de chaves reforçado e controles rigorosos sobre papéis privilegiados parecem cada vez mais necessários para prevenir incidentes semelhantes.
Efeitos de contágio DeFi e respostas em nível de plataforma
O exploit se espalhou rapidamente pelo ecossistema DeFi mais amplo. Numerosas plataformas se moveram para avaliar e reduzir sua exposição ao USR e ativos relacionados. Além disso, emitiram atualizações públicas para limitar o pânico dos usuários e prevenir mais estresse sistêmico.
Lido confirmou que os fundos dos usuários depositados no Lido Earn permaneceram seguros e não foram diretamente afetados pelo incidente. Stani Kulechov, fundador da Aave, afirmou que o protocolo de empréstimo não tinha exposição direta ao USR. Ele também disse que a Resolv estava ativamente pagando dívidas pendentes, sugerindo um esforço coordenado para conter os efeitos colaterais.
No otimizador de empréstimos Morpho, o cofundador Merlin Egalite esclareceu que apenas cofres específicos tinham exposição ao USR, em vez de toda a plataforma. No entanto, esses riscos direcionados ainda representavam desafios para pools específicos e seus provedores de liquidez, levando a rápidas revisões de governança e parâmetros de risco.
Negociações alavancadas e estresse nos mercados de empréstimo
Tanto o USR quanto seu derivado staked wstUSR foram aprovados como colateral em vários protocolos, incluindo Morpho e Gauntlet. Analistas de mercado relataram que traders oportunistas pareciam comprar USR a preços depreciados e depois usá-lo como colateral, tomando emprestado USDC próximo ao valor total de $1.
Essa estratégia criou um descompasso perigoso entre o preço de mercado e a avaliação do colateral. Como resultado, os cofres afetados viram suas reservas de stablecoin drenadas, enquanto o valor real do colateral que respaldava esses empréstimos já havia colapsado. Dito isso, motores de risco e oráculos em algumas plataformas ainda podem se ajustar ao longo do tempo para mitigar danos de longo prazo.
O token de tranche de seguro júnior da Resolv, RLP, também enfrentou potencial comprometimento de capital. A Stream Finance, que detém cerca de 13.6 milhões de RLP avaliados em aproximadamente $17 milhões, poderia transmitir perdas adicionais para sua base de depositantes. Além disso, a Stream havia divulgado anteriormente uma perda de $93 milhões em novembro de 2025, o que aumenta as preocupações sobre o risco composto para seus usuários.
No rescaldo imediato, o token de governança RESOLV caiu aproximadamente 8.5% em um período de 24 horas. A queda refletiu tanto preocupações diretas sobre a solvência do protocolo quanto dúvidas mais amplas sobre a arquitetura de segurança e resiliência operacional da plataforma.
Implicações mais amplas do bug de emissão do USR da Resolv
O hack da Resolv, impulsionado pela vulnerabilidade da stablecoin USR, ilustra como uma combinação de comprometimento de conta privilegiada do protocolo e monitoramento em tempo real insuficiente pode minar preparações extensivas de segurança. Além disso, destaca que eventos de desvalorização em grandes locais de liquidez podem rapidamente infligir danos colaterais em camadas de empréstimo, staking e seguro.
Avançando, emissores de stablecoins e protocolos DeFi provavelmente enfrentarão um escrutínio renovado sobre gerenciamento de chaves, verificação de colateral e vigilância de risco on-chain. Em resumo, o incidente da Resolv reforça uma dura lição para a indústria: sem controles herméticos em torno da emissão e acesso privilegiado, mesmo sistemas fortemente auditados podem falhar de forma catastrófica.
