USR Stablecoin Desanchorado Colapsa 97%! Vulnerabilidad de Acuñación en Resolv Causa Robo de $25 Millones

El atacante aprovechó una vulnerabilidad en el control de acceso del contrato de acuñación de USR, un protocolo de stablecoin de Resolv, a las 2:21 de la madrugada del domingo (UTC), creando aproximadamente 80 millones de tokens sin respaldo por unos 200,000 dólares en USDC, y canjeándolos en exchanges por unos 25 millones de dólares. USR se desplomó inmediatamente en el principal pool de liquidez de Curve Finance, cayendo a 0.025 dólares.

Mecanismo del ataque: cómo fue explotado el contrato de acuñación

(Fuente: Etherscan)

La cuenta X, YieldsAndMore, fue la primera en registrar la transacción anómala: el atacante depositó 100,000 USDC en el contrato USR Counter de Resolv, y recibió a cambio 50 millones de USR, aproximadamente 500 veces la cantidad normal; luego, en una segunda transacción, acuñó otros 300 millones, sumando en total unos 80 millones de tokens.

El analista en cadena Andrew Hong identificó que la raíz de la vulnerabilidad está en el rol privilegiado SERVICE_ROLE del protocolo. Este rol se usa para completar solicitudes de canje, pero solo es controlado por cuentas externas normales (EOA), no por una estructura de firma múltiple más segura. Además, el contrato de acuñación carece de validación de precios mediante oráculos, límites en la cantidad, y mecanismos de restricción en la acuñación.

El fondo DeFi D2 Finance propuso tres posibles rutas de ataque: manipulación del oráculo, compromiso de los firmantes off-chain, o la ausencia de validación en la cantidad entre la solicitud y la ejecución de acuñación.

Impacto en el mercado: efecto de desvinculación que se extiende a DeFi y préstamos

(Fuente: Trading View)

Tras la acuñación, en 17 minutos, USR en el pool de Curve Finance cayó a 0.025 dólares, recuperándose luego a aproximadamente 0.85 dólares, pero sin volver a su anclaje original. La dirección principal del atacante (que empieza con 0x04A2) terminó con 11,409 ETH (unos 23.7 millones de dólares), y otra dirección relacionada poseía unos 1.1 millones en tokens wstUSR.

Efectos en cadena de la desvinculación de USR

Daño a la liquidez en plataformas de préstamo: USR y wstUSR son aceptados como colateral en Morpho y Gauntlet. Tras la desvinculación, algunos especuladores compraron USR con descuento y lo usaron para pedir prestado USDC al valor nominal, acelerando la quiebra de los fondos.

Presión en la capa de seguro RLP: La pool de liquidez Resolv (RLP), que actúa como mecanismo de absorción de pérdidas, tenía en circulación unos 38.6 millones de dólares antes del ataque. El mayor poseedor, Stream Finance, tenía 13.6 millones en RLP en Morpho, con una exposición neta de aproximadamente 17 millones de dólares.

Caída del token de gobernanza RESOLV: Como consecuencia, RESOLV cayó aproximadamente un 8.5% en 24 horas.

Aunque Resolv Labs afirmó que las pools de colateral estaban “completamente intactas”, analistas en cadena señalaron que la naturaleza del ataque fue una expansión de oferta, no un robo directo de colateral. La creación de 80 millones de tokens diluyó la circulación existente, y la venta masiva por parte del atacante destruyó la liquidez, causando pérdidas sustanciales a los usuarios que poseían USR durante el evento.

Limitaciones en auditorías y la intersección con regulaciones

Deddy Lavid, CEO de Cyvers, afirmó: “Confiar solo en auditorías no es suficiente; si no se monitorean en tiempo real las cantidades acuñadas y la oferta, en los momentos críticos estamos ciegos.” La web oficial de Resolv afirma haber completado 14 auditorías en cinco firmas y tener un programa de recompensas por vulnerabilidades de 500,000 dólares en Immunefi.

El evento ocurrió en un momento delicado. La legislación en EE. UU. avanza en la regulación de stablecoins de rendimiento bajo la ley GENIUS, con varios senadores alcanzando acuerdos de principios sobre su manejo un día antes del ataque. Además, según Immunefi, las pérdidas promedio en ataques a criptomonedas en 2026 rondan los 25 millones de dólares, cifra que coincide con el monto de este incidente.

Preguntas frecuentes

¿Qué tipo de stablecoin es USR y por qué se desvinculó?

USR es una stablecoin vinculada al dólar emitida por Resolv Labs, que utiliza una estrategia delta-neutral de cobertura, con ETH y BTC como respaldo. La desvinculación no se debió a insuficiencia de colateral, sino a que el atacante aprovechó una vulnerabilidad en la acuñación para crear una gran cantidad de tokens sin respaldo y venderlos en el mercado, causando un colapso instantáneo en el principal pool de liquidez.

¿Cuál fue la vulnerabilidad técnica principal del ataque?

El núcleo de la vulnerabilidad radica en que la cuenta con rol privilegiado SERVICE_ROLE es controlada por una cuenta EOA normal, y que el contrato de acuñación carece de validación de precios mediante oráculos, límites en la cantidad y restricciones en la emisión. Esto permitió que con solo 200,000 dólares en USDC, el atacante acuñara 500 veces esa cantidad en USR.

¿Qué riesgos enfrentan los poseedores de USR?

El atacante vendió en masa USR sin respaldo, destruyendo la liquidez. Los usuarios que tenían USR durante el ataque sufrieron pérdidas inmediatas en valor de mercado. Además, el uso de wstUSR como colateral en varias plataformas DeFi y la desvinculación afectaron aún más la estructura de liquidez de los fondos relacionados.