A plataforma DeFi Resolv confirmou um ataque que permitiu a cunhagem não autorizada de cerca de US$ 80 milhões em USR, seguida da troca por 11.408 ETH (≈ US$ 24,5 milhões). O incidente derrubou o peg do USR e levou à pausa temporária do aplicativo.
O que aconteceu
- Um atacante obteve acesso a uma chave privada privilegiada usada para autorizar mints.
- O sistema permitiu criação massiva de USR sem limites efetivos.
- Os tokens foram rapidamente vendidos por stablecoins e convertidos em ETH.
Detalhes técnicos e falhas de desenho
- Relatos indicam ausência de limites máximos de mint e validações de razão de colateral.
- Um papel privilegiado (ex.: service role) com poder de minting era controlado por uma única chave, aumentando o risco de ponto único de falha.
- Analistas apontaram falta de checagens de oráculo e validação de montantes durante o fluxo de mint.
Impacto no mercado
- USR perdeu o peg e chegou a cair para US$ 0,025 em pools de liquidez; depois recuperou parcialmente, mas ficou abaixo de US$ 1.
- O episódio expôs um descompasso entre ativos e passivos, deixando o protocolo em situação crítica de solvência.
Resposta da Resolv
- A equipe pausou o app e iniciou rastreamento on‑chain dos fundos.
- Publicou comunicados pedindo devolução e sinalizando ação com exchanges e autoridades.
- Ofereceu recompensa de 10% do valor caso os fundos fossem devolvidos.
O que monitorar
- Emissão atípica de stablecoins e quedas bruscas de peg.
- Movimentações rápidas para DEX/mixers e carteiras recém-criadas.
- Alertas de permissões críticas (roles de mint/upgrade).
Mitigação (lições práticas)
- Limites rígidos de emissão e validação de razão de colateral.
- Chaves críticas em multisig + hardware‑backed custody.
- Monitoramento on‑chain em tempo real com travas automáticas.
Fontes:
- https://therecord.media/hacker-breaches-resolv-defi-25-million
- https://www.coindesk.com/markets/2026/03/23/resolv-stablecoin-drops-70-after-usd80-million-exploit-after-attacker-mints-usr