El hack de Resolv profundiza la crisis de DeFi mientras emergen riesgos críticos de stablecoins

Una vulnerabilidad importante en el sistema de emisión de USR, la stablecoin de Resolv, desencadenó el hackeo de resolv, provocando una grave disrupción en varios plataformas DeFi interconectadas.

Cómo se desarrolló la explotación de la stablecoin USR

El domingo, un atacante sofisticado dirigió su ataque contra la infraestructura de emisión de USR de Resolv y generó aproximadamente 80 millones de tokens no respaldados, drenando en última instancia unos 25 millones de dólares en Ether (ETH) del protocolo. La explotación evidenció cómo una sola debilidad en la lógica de emisión de una stablecoin puede desencadenar una crisis de mercado más amplia.

La actividad maliciosa comenzó alrededor de las 2:21 a.m. UTC, cuando el perpetrador depositó 100,000 USDC en el contrato USR Counter de Resolv. A cambio, el atacante recibió unos 50 millones de USR, aproximadamente 500 veces la cantidad legítima. Una transacción posterior produjo otros 30 millones de tokens. En conjunto, estas acciones inflaron la oferta de USR sin ningún colateral correspondiente.

Tras la emisión no autorizada, el atacante intercambió sistemáticamente los USR fraudulentos por USDC y USDT en múltiples exchanges descentralizados. Además, consolidó las ganancias en ETH. Según datos en la cadena, la cartera del atacante actualmente posee 11,409 ETH, valorados en aproximadamente 23.7 millones de dólares a los precios de mercado actuales.

Depeg brutal en Curve y pérdidas severas para los titulares de USR

USR, diseñada para mantener un valor de $1, experimentó un colapso casi inmediato. Solo 17 minutos después de la primera emisión anómala, el token cayó a $0.025 en Curve Finance. Sin embargo, el precio se recuperó parcialmente, llegando a alrededor de $0.85, aunque permaneció muy despegado durante la mañana del domingo.

Resolv Labs anunció en X que había suspendido todas las operaciones del protocolo. El equipo enfatizó que el fondo de colateral “permanece completamente intacto” y aseguró que “ningún activo subyacente” fue comprometido, calificando el problema como “aislado a la mecánica de emisión de USR”. Sin embargo, la reacción del mercado indicó que los usuarios no estaban completamente tranquilos.

Los analistas de blockchain señalaron rápidamente que los titulares existentes de USR soportaron la mayor parte del daño. La entrada repentina de 80 millones de nuevos tokens diluyó masivamente la oferta en circulación. Además, la venta agresiva del atacante drenó la liquidez de los pools disponibles. Cualquier inversor que tuviera USR durante el incidente enfrentó pérdidas inmediatas y significativas en su portafolio.

Compromiso de cuentas privilegiadas del protocolo y salvaguardas de emisión

Los investigadores de seguridad rastrearon rápidamente la explotación hasta controles de acceso críticos. El analista de seguridad blockchain Andrew Hong identificó el origen de la brecha en una cuenta privilegiada designada como SERVICE_ROLE. Este rol altamente sensible supuestamente era gestionado por una sola cuenta externa, en lugar de una estructura de múltiples firmas más segura.

El contrato de emisión de USR supuestamente carecía de protecciones clave como verificación robusta de oráculos, validación adecuada de cantidades y límites máximos de emisión. Sin embargo, esta debilidad de diseño pudo haber interactuado con una falla operativa más profunda: la exposición de credenciales privilegiadas. El incidente resaltó cómo los roles de gobernanza pueden convertirse en puntos únicos de fallo si no se aseguran adecuadamente.

La firma de seguridad Pashov, que auditó previamente el módulo de staking de Resolv en julio de 2025, dijo a Cointelegraph que la causa raíz parece ser una compromisión de la clave privada en lugar de un fallo en el diseño arquitectónico central. No obstante, la firma enfatizó que incluso los protocolos bien auditados siguen siendo vulnerables si la gestión de claves y las prácticas de seguridad operativa no son estrictas.

Deddy Lavid, CEO de Cyvers, advirtió que las auditorías por sí solas no garantizan una seguridad completa. “Las auditorías por sí solas no son suficientes. Si no monitoreas en tiempo real la emisión y la oferta, estarás ciego cuando más importa”, afirmó, subrayando la necesidad de una supervisión continua y automatizada de las acciones privilegiadas.

Auditorías extensas, recompensas por errores y brechas en monitoreo en tiempo real

La documentación oficial de Resolv enumera 14 auditorías realizadas por cinco firmas de seguridad diferentes. El proyecto también anuncia un programa de recompensas por errores de $500,000 en Immunefi, junto con sistemas de vigilancia de contratos inteligentes en curso. Sin embargo, el ataque exitoso demuestra que incluso las inversiones extensas en seguridad pueden ser socavadas por una sola falla operativa.

Los observadores de la industria señalaron que la magnitud de la pérdida se alinea con tendencias más amplias. Un informe reciente de Immunefi encontró que el promedio de hackeos en criptomonedas causa aproximadamente 25 millones de dólares en daños. Además, los cinco mayores exploits de 2024-2025 representaron el 62% del valor total robado en el sector, subrayando una concentración persistente del riesgo.

En este contexto, el hackeo de Resolv sirve como un estudio de caso sobre los límites de las auditorías previas al despliegue y las recompensas por errores. La vigilancia continua en la cadena, la gestión reforzada de claves y controles estrictos sobre roles privilegiados parecen ser cada vez más necesarios para prevenir incidentes similares.

Efectos de contagio en DeFi y respuestas a nivel de plataforma

El exploit se propagó rápidamente por el ecosistema DeFi más amplio. Numerosas plataformas comenzaron a evaluar y reducir su exposición a USR y activos relacionados. Además, emitieron actualizaciones públicas para limitar el pánico de los usuarios y prevenir mayor estrés sistémico.

Lido confirmó que los fondos de los usuarios depositados en Lido Earn permanecían seguros y no fueron afectados directamente por el incidente. Stani Kulechov, fundador de Aave, afirmó que el protocolo de préstamos no tenía exposición directa a USR. También mencionó que Resolv estaba pagando activamente la deuda pendiente, sugiriendo un esfuerzo coordinado para contener los efectos en cascada.

En Morpho, cofundador Merlin Egalite aclaró que solo ciertos vaults tenían exposición a USR, no toda la plataforma. Sin embargo, estos riesgos específicos aún representaban desafíos para pools particulares y sus proveedores de liquidez, lo que llevó a revisiones rápidas de gobernanza y parámetros de riesgo.

Operaciones apalancadas y presión en los mercados de préstamos

Tanto USR como su derivado apostado wstUSR habían sido aprobados como colateral en varios protocolos, incluyendo Morpho y Gauntlet. Los analistas de mercado reportaron que los traders oportunistas compraron USR a precios de distressed y lo usaron como colateral, tomando préstamos en USDC cerca del valor completo de $1.

Esta estrategia creó un desajuste peligroso entre el precio de mercado y la valoración del colateral. Como resultado, los vaults afectados vieron drenadas sus reservas de stablecoins, mientras que el valor real del colateral que respalda esos préstamos ya había colapsado. Sin embargo, los motores de riesgo y oráculos en algunas plataformas aún pueden ajustarse con el tiempo para mitigar daños a largo plazo.

El token de la tranche de seguro junior de Resolv, RLP, también enfrentó posibles deterioros de capital. Stream Finance, que posee alrededor de 13.6 millones de RLP valorados en unos 17 millones de dólares, podría transmitir pérdidas adicionales a sus depositantes. Además, Stream ya había reportado una pérdida de 93 millones de dólares en noviembre de 2025, lo que aumenta las preocupaciones sobre riesgos acumulativos para sus usuarios.

En las horas inmediatas posteriores, el token de gobernanza de RESOLV cayó aproximadamente un 8.5% en 24 horas. La caída reflejó tanto preocupaciones directas sobre la solvencia del protocolo como dudas más amplias sobre la arquitectura de seguridad y la resiliencia operativa de la plataforma.

Implicaciones más amplias del error en la emisión de USR de Resolv

El hackeo de Resolv, impulsado por la vulnerabilidad de la stablecoin USR, ilustra cómo una combinación de compromiso de cuentas privilegiadas del protocolo y una supervisión en tiempo real insuficiente puede socavar amplias preparaciones de seguridad. Además, subraya que eventos de depeg en los principales mercados de liquidez pueden causar rápidamente daños colaterales en préstamos, staking y seguros.

De cara al futuro, los emisores de stablecoins y los protocolos DeFi probablemente enfrentaran un escrutinio renovado sobre la gestión de claves, la verificación de colaterales y la vigilancia de riesgos en la cadena. En resumen, el incidente de Resolv refuerza una lección dura para la industria: sin controles estrictos en la emisión y el acceso privilegiado, incluso los sistemas con auditorías exhaustivas pueden fallar de manera catastrófica.