Resolv Ataque de Hackers: Cómo una Clave Filtrada Condujo a la Acuñación Ilegal de 23 Millones de Dólares

Escrito por: Chainalysis

Traducido por: AididiaoJP, Foresight News

22 de marzo de 2026, el protocolo Resolv DeFi se convirtió en el último ejemplo que muestra cuán rápido puede una crisis estallar en el ámbito DeFi cuando fallan las suposiciones de seguridad. En solo unos minutos, un atacante acuñó decenas de millones de USR, una stablecoin de Resolv sin respaldo colateral, y extrajo aproximadamente 25 millones de dólares en valor, provocando un fuerte desacople en el precio de USR y obligando a detener el protocolo.

A simple vista, esto parece otro caso de vulnerabilidad en contratos inteligentes. Sin embargo, la realidad es diferente. La forma en que se ejecuta el código está completamente alineada con su diseño.

En realidad, se trata de un incidente causado por una confianza excesiva en infraestructura fuera de la cadena. A medida que los sistemas DeFi se vuelven más complejos y dependen cada vez más de servicios externos, claves privilegiadas y infraestructura en la nube, su superficie de ataque ha superado ampliamente los límites de la cadena de bloques en sí.

Este artículo analizará el desarrollo del evento y su impacto, y explorará además: cuando los componentes fuera de la cadena son comprometidos, solo mecanismos de detección y respuesta en tiempo real en la cadena pueden actuar como la última línea de defensa, diferenciando esencialmente entre un evento controlado y una explotación de vulnerabilidad que puede causar millones de dólares en pérdidas.

Resumen del evento

El atacante primero depositó una cantidad pequeña (aproximadamente 100,000 a 200,000 dólares en USDC) y utilizó esto para interactuar con el sistema de acuñación de USR de Resolv. En condiciones normales, tras depositar USDC, el usuario recibe una cantidad equivalente de USR. Pero en este caso, el atacante logró acuñar aproximadamente 80 millones de USR, mucho más allá de lo que su depósito justificaba.

Esto ocurrió porque la aprobación para acuñar dependía de un servicio fuera de la cadena que usaba una clave privada privilegiada para autorizar la cantidad de USR a acuñar. Sin embargo, el contrato inteligente en sí no establecía ningún límite en la cantidad a acuñar — solo verificaba la validez de la firma.

Tras acuñar USR sin respaldo colateral, el atacante rápidamente lo convirtió en la versión respaldada wstUSR, y luego lo intercambió por otras stablecoins, para finalmente retirar en ETH. Al momento de completar el ataque, el atacante había obtenido aproximadamente 25 millones de dólares en ETH. La entrada masiva de USR sin respaldo en el mercado provocó una caída del precio en torno al 80%.

Tras conocer los resultados, a continuación se analizará cómo la deficiente diseño en la fase de acuñación facilitó este ataque.

Proceso normal de acuñación de tokens en Resolv

Para entender las causas del ataque, primero hay que comprender el mecanismo de acuñación de Resolv.

Cuando un usuario desea acuñar el token nativo de Resolv, USR, no interactúa con un mecanismo completamente autónomo en la cadena, sino que pasa por un proceso fuera de la cadena que consta de dos pasos:

requestSwap — El usuario deposita USDC en el contrato USR Counter y solicita la acuñación.

completeSwap — Un servicio fuera de la cadena, controlado por una clave privada con el rol SERVICE_ROLE, revisa la solicitud y, mediante una llamada de retorno al contrato, determina la cantidad final de USR a acuñar.

El contrato solo especifica un mínimo de USR a emitir, sin establecer ningún límite superior. No verifica en la cadena la proporción entre la cantidad de colateral depositado y la USR acuñada, ni integra mecanismos como oráculos de precios, límites totales o máximos de acuñación. En otras palabras, cualquier cantidad firmada con esa clave puede ser acuñada.

Detalles de las etapas del ataque

Paso 1: Acceso a la infraestructura AWS KMS de Resolv

El atacante logró acceder a la infraestructura de Resolv en AWS KMS, donde se almacenan las claves de firma privilegiadas del protocolo, tras hackear la infraestructura en la nube. Con control sobre KMS, el atacante pudo usar la clave de acuñación de Resolv para autorizar operaciones de acuñación arbitrarias.

Paso 2: Acuñación de USR

Con la clave de firma en su poder, el atacante realizó dos solicitudes de swap, cada una con una pequeña cantidad de USDC, en total entre 100,000 y 200,000 dólares, dispersadas en varias transacciones. Luego, usó la clave con rol SERVICE_ROLE para llamar a la función completeSwap, ingresando cantidades infladas, lo que le permitió acuñar decenas de millones de USR con una inversión mínima en USDC.

Se identificaron en la cadena dos transacciones principales:

• Acuñación de 50 millones de USR

• Acuñación de 30 millones de USR

En total, se acuñaron 80 millones de USR, valorados en aproximadamente 25 millones de dólares.

Paso 3: Uso de wstUSR para evitar restricciones de liquidez

Luego, el atacante convirtió USR en wstUSR, un token derivado que representa participación en un pool de staking, cuyo valor no está fijado en relación 1:1 con USR. Al hacer esto, evitó impactar directamente el mercado de USR, transfiriendo su posición a un activo con menor liquidez pero mayor flexibilidad.

Paso 4: Retiro y salida

Con wstUSR en su poder, el atacante lo cambió por stablecoins, luego por ETH, y utilizó múltiples pools de liquidez en exchanges descentralizados y puentes cross-chain para mover los fondos, maximizando la cantidad retirada y dificultando su rastreo.

Hasta el momento de redactar este informe, el atacante mantiene en su dirección aproximadamente:

• 11,400 ETH (valor unos 24 millones de dólares)

• 2 millones de wstUSR (valor aproximado de 130,000 dólares tras la caída del precio)

Impacto en los poseedores de USR

Este incidente causó un impacto directo y severo en los poseedores de USR.

Las 80 millones de USR sin respaldo colateral recién acuñadas entraron en los pools de liquidez de exchanges descentralizados. La oferta en circulación aumentó rápidamente, provocando un colapso en el precio de USR respecto al dólar. El token llegó a caer hasta 0.20 USD, una caída del 80%, y luego se recuperó en horas hasta aproximadamente 0.56 USD.

Tras el evento, Resolv Labs emitió un comunicado suspendiendo todas las funciones del protocolo para evitar mayores pérdidas y comenzó una investigación del incidente. Dado que el atacante seguía intentando acuñar más USR, la acción rápida para prevenir pérdidas adicionales fue crucial, resaltando la importancia de responder con rapidez ante este tipo de ataques.

Una filosofía de seguridad sólida debe basarse en la premisa de que “las vulnerabilidades son inevitables”

Aunque Resolv implementó todas las medidas de seguridad habituales y realizó hasta 18 auditorías, este ataque en esencia es una historia sencilla: el atacante obtuvo la clave, la usó para acuñar activos ilegalmente y, antes de que las partes involucradas se dieran cuenta, los convirtió en fondos líquidos.

Desde una perspectiva más profunda, este incidente revela cómo los protocolos DeFi heredan los riesgos y supuestos de seguridad de su infraestructura fuera de la cadena. La operación y el diseño del contrato inteligente en la cadena son coherentes, pero el sistema en su conjunto y la infraestructura fuera de la cadena que fue comprometida no alcanzaron los estándares de seguridad necesarios.

En un contexto donde las explotaciones pueden completarse en minutos y las pérdidas se evidencian rápidamente, los mecanismos de monitoreo en tiempo real y respuesta automática dejan de ser complementos y se convierten en una necesidad imprescindible.

Análisis de prevención con Hexagate

El ataque a Resolv demuestra claramente la importancia de un monitoreo en tiempo real en la cadena para detectar comportamientos anómalos. Si se hubiera utilizado Chainalysis Hexagate, estas dos estrategias específicas podrían haber sido efectivas:

Primera opción: monitoreo de eventos de acuñación anómalos

Configurando Hexagate, se puede detectar la llamada a la función completeSwap, identificando casos en los que la cantidad de USR acuñada sea desproporcionadamente alta respecto al colateral depositado.

Por ejemplo, una solicitud de USDC por 100,000 dólares que autorice la acuñación de 50 millones de USR sería claramente anómala. Se pueden establecer reglas de alerta, como activar una alarma cuando la proporción de acuñación supere 1.5 veces el valor normal, permitiendo detectar rápidamente estas transacciones principales.

El sistema de monitoreo personalizado de Hexagate puede activar respuestas automáticas ante comportamientos sospechosos, como bloquear o pausar contratos.

Segunda opción: integración con GateSigner y monitoreo de eventos clave

El atacante debe realizar primero requestSwap y luego completeSwap, cada uno generando eventos en la cadena. La combinación de GateSigner y la monitorización de eventos puede configurarse para detectar eventos de acuñación inusuales y, automáticamente, detener el contrato si se detecta una actividad sospechosa, bloqueando la entrada de los 80 millones de USR en el mercado público antes de que puedan ser utilizados.