Intercambia 200 mil por casi 100 millones, las stablecoins de DeFi vuelven a ser atacadas

null

Escrito por Eric, Foresight News

Alrededor de las 10:21 hora de Pekín hoy, Resolv Labs, que utilizó la estrategia neutral Delta para emitir la stablecoin USR, fue hackeada. Las direcciones comienzan con 0x04A2 acuñadas 50 millones de USR desde el protocolo Resolv Labs con 100.000 USDC.

A medida que el incidente salió a la luz, la USR cayó a unos 0,25 dólares y se recuperó a unos 0,8 dólares en el momento de escribir esto. El precio del token RESOLV también experimentó una caída máxima de casi el 10% en poco tiempo.

Después de eso, el hacker ideó el mismo método y volvió a acuñar 30 millones de USR con 100.000 USDC. Con el significativo desanclaje de USR, los traders de arbitraje también han actuado con rapidez, muchos mercados de préstamos en Morpho que apoyan USR, wstUSR, etc., como garantía están casi vaciados, y Lista DAO en BNB Chain también ha suspendido nuevas solicitudes de préstamo.

No solo estos acuerdos de préstamo se ven afectados. En el diseño del protocolo Resolv Labs, los usuarios también pueden acuñar un token RLP con mayores fluctuaciones de precio y mayores rendimientos, pero deben ser responsables de compensación si el protocolo sufre pérdidas. Actualmente, hay cerca de 30 millones de tokens RLP en circulación, siendo el mayor titular, Stream Finance, quien posee más de 13 millones de RLP, con una exposición neta de aproximadamente 17 millones de dólares.

Así es, Stream Finance, que ya fue afectado una vez por xUSD, podría volver a ser criticado.

En el momento de escribir esto, el hacker ha convertido USR en USDC y USDT y sigue comprando Ethereum, con más de 10.000 hasta ahora. Utilizando 200.000 USDC para retirar más de 20 millones de dólares en activos, el hacker encontró la “moneda 100x” perteneciente a TA durante el mercado bajista.

Una vez más, fue explotado por su “falta de rigor”

La fuerte caída del 11 de octubre del año pasado provocó que muchas stablecoins emitidas con la estrategia delta-neutral perdieran garantías debido a la ADL (desapalancamiento automático). Algunos activos que utilizan altcoins como estrategia de ejecución incluso han sufrido grandes pérdidas en proyectos o han huido.

El proyecto anunció en abril de 2025 que había completado una ronda semilla de financiación de 10 millones de dólares liderada por Cyber.Fund y Maven11, con la participación de Coinbase Ventures, y lanzó el token RESOLV a finales de mayo y principios de junio.

Sin embargo, la razón del ataque a Resolv Labs no es el mercado extremo, sino la “falta de rigor” en el diseño del mecanismo para acuñar USR.

Actualmente, no existe ninguna empresa de seguridad ni un análisis oficial sobre las razones de este incidente de hackeo. La comunidad DeFi YAM concluyó inicialmente, mediante análisis, que el ataque probablemente es causado por hackers que controlan el SERVICIO_ROLE utilizado para proporcionar parámetros a la acuñación de contratos en el backend del protocolo.

Según el análisis de Grok, cuando los usuarios crean USR, iniciarán una solicitud en cadena y llamarán a la función requestMint del contrato, con parámetros que incluyen:

_depositTokenAddress: La dirección del token depositada;

_amount: Cantidad depositada;

_minMintAmount: La cantidad mínima de USR (punto antideslizante) que se espera recibir.

Después de eso, el usuario deposita USDC o USDT en el contrato, y el SERVICIO_ROLE backend del proyecto supervisa la solicitud, utiliza el oráculo Pyth para comprobar el valor de los activos depositados y luego llama a la función completeMint o completeSwap para determinar la cantidad real de USR acuñada.

El problema es que el contrato de acuñación confía plenamente en el _mintAmount proporcionado por SERVICE_ROLE, creyendo que el número ha sido verificado por Pyth fuera de la cadena, por lo que no hay límite superior ni verificación por oráculo en cadena, y mint(_mintAmount se ejecuta directamente.

Basándose en esto, YAM sospechó que el hacker había tomado el control del SERVICIO_ROLE que se suponía debía estar controlado por el equipo del proyecto (posiblemente debido a la pérdida del control del oráculo interno, el robo del guardia o el robo de la llave), y estableció directamente _mintAmount en 50 millones durante la acuñación, dando cuenta del ataque de acuñar 50 millones de USR con 100.000 USDC.

En el análisis final, Grok concluyó que Resolve no consideró la posibilidad de que la dirección (o contrato) utilizada para recibir solicitudes de acuñación de usuarios estuviera controlada por hackers al diseñar el protocolo, y cuando la solicitud para acuñar USR se presentó al contrato que acuñó USR, no estableció una cantidad máxima de acuñación, ni permitió que el contrato utilizara un oráculo en cadena para la verificación secundaria, confiando directamente en todos los parámetros proporcionados por SERVICE_ROLE.

Tampoco existe prevención

Además de especular sobre las razones del hackeo, YAM también señaló la falta de preparación del equipo del proyecto para afrontar la crisis.

YAM dijo en X que Resolv Labs suspendió el protocolo solo 3 horas después de que se completara el primer ataque del hacker, con un retraso de aproximadamente 1 hora tras la recogida de las 4 firmas necesarias para las transacciones multifirma. YAM considera que las pausas de emergencia solo deberían requerir una firma, y que los permisos deberían asignarse a miembros del equipo o a operadores externos de confianza en la medida de lo posible, lo que puede aumentar la atención a anomalías en cadena, aumentar la probabilidad de pausas rápidas y cubrir mejor diferentes zonas horarias.

Aunque la sugerencia de que una sola firma pueda ser suspendida es algo agresiva, sí se necesitan varias firmas en diferentes zonas horarias para pausar un acuerdo en caso de emergencia que pueda retrasar grandes cosas. Introducir un tercero de confianza que monitoriza continuamente el comportamiento en cadena, o utilizar herramientas de monitorización con suspensión de protocolos de emergencia, son todas “consecuencias” provocadas por este incidente.

Los ataques de hackers a protocolos DeFi durante mucho tiempo no se han limitado a vulnerabilidades contractuales, y el incidente de Resolv Labs sirve como advertencia para las partes del proyecto: la suposición en términos de seguridad del protocolo debe ser que ninguno de ellos puede ser confiable, y todos los enlaces que involucren parámetros deben verificarse al menos dos veces, incluso si el backend es operado por la propia parte del proyecto.