L'attaccante ha sfruttato una falla nel contratto di minting USR SERVICE_ROLE, mintando circa 80 milioni di token non garantiti da circa 200.000 USDC.
I proventi convertiti in ETH; il portafoglio dell'attaccante principale detiene 11,409 ETH del valore di ~$23.7 milioni più ulteriore esposizione wstUSR.
USR disaccoppiato a $0.025 su Curve Finance in 17 minuti; successivamente recuperato parzialmente a ~$0.85 ma rimane fuori peg.
Resolv Labs ha immediatamente sospeso tutte le funzioni del protocollo; il pool di collaterale confermato totalmente intatto senza perdita di asset.
Il token di governance RESOLV è sceso di circa il 9%; gli analisti citano controlli oracle mancanti, limiti di minting e monitoraggio in tempo reale come vulnerabilità chiave.
Resolv Labs ha sospeso il suo protocollo di finanza decentralizzata a seguito di un significativo sfruttamento nel contratto di coniazione della stablecoin USR che ha consentito a un attaccante di gonfiare l'offerta ed estrarre circa $25 milioni.
L'attacco è iniziato intorno alle 2:21 a.m. UTC di domenica, quando il perpetratore ha depositato circa $200,000 in USDC nel contratto del Contatore USR e ha ricevuto circa 80 milioni di token USR — circa 500 volte l'importo previsto. Una seconda transazione ha aggiunto altri 30 milioni di token. Il difetto derivava da un SERVICE_ROLE privilegiato controllato da un singolo account esternamente posseduto privo di controlli di prezzo oracle, validazione dell'importo o limiti massimi di coniazione.
USR, una stablecoin ancorata al dollaro che impiega una strategia di copertura delta-neutra supportata da ETH e BTC, è crollata a $0.025 nel suo pool principale di Curve Finance entro 17 minuti dalla prima coniazione. Il token è successivamente scambiato intorno a $0.85 ma non ha ripristinato completamente il suo ancoraggio a $1. Resolv Labs ha prontamente messo in pausa tutte le funzioni, affermando in un post ufficiale su X che il pool di garanzia “rimane completamente intatto” con “nessun bene sottostante perso” e che il problema era “isolato alla meccanica di emissione di USR.”
Stiamo attualmente indagando su un incidente di sicurezza relativo a coniazioni non autorizzate di USR. A questo stadio: Il pool di garanzia rimane completamente intatto. Nessun bene sottostante è andato perso. Il problema sembra essere isolato alla meccanica di emissione di USR. La nostra priorità immediata è di: 1)…
— Resolv Labs (@ResolvLabs) 22 marzo 2026
L'attaccante ha scambiato l'USR non garantito per USDC e USDT su scambi decentralizzati prima di convertire i proventi in ETH. I dati on-chain mostrano che il portafoglio principale (0x8ED8cF0C1c531C1b20848E78f1CB32fa5B99b81C) ora detiene 11,409 ETH valutati circa $23.7 milioni, con un portafoglio secondario che conserva circa $1.1 milioni in wstUSR. Le posizioni DeFi correlate, comprese le casse curate da Gauntlet su Morpho e l'esposizione netta di $17 milioni di Stream Finance, sono state anch'esse colpite.
I ricercatori e le aziende di sicurezza hanno fornito analisi. L'analista on-chain Andrew Hong ha evidenziato l'assenza di protezioni multisig sul ruolo amministrativo. D2 Finance ha delineato potenziali vettori tra cui la manipolazione oracle o firmatari off-chain compromessi. Il CEO di Cyvers Deddy Lavid ha avvertito: “Questo è esattamente dove il rischio delle stablecoin diventa reale. Le sole revisioni non sono sufficienti, se non stai monitorando la coniazione e l'offerta in tempo reale, sei cieco quando conta di più.”
USR di @ResolvLabs sta scambiando a un centesimo, qualcuno ha coniato 50m USR con $100k USDC https://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk
— YAM (@yieldsandmore) 22 marzo 2026
Il token di governance RESOLV è sceso di circa il 9% immediatamente dopo. Mentre il protocollo rimane in pausa in attesa di indagini, l'incidente evidenzia i rischi persistenti nell'emissione di stablecoin anche mentre il settore attira maggiore attenzione istituzionale. Gli utenti e i fornitori di liquidità sono invitati a monitorare i canali ufficiali per aggiornamenti su eventuali misure di recupero o compensazione.
Dichiarazione di non responsabilità: Questo articolo è a solo scopo informativo e non costituisce consiglio di alcun tipo. I lettori dovrebbero condurre le proprie ricerche prima di prendere qualsiasi decisione.
Il post Resolv Pauses USR Stablecoin After Attacker Mints 80 Million Unbacked Tokens è apparso per la prima volta su Cryptopress.