Acabo de ponerme al día con el incidente de Resolv de hace unas semanas y, honestamente, es un recordatorio bastante sobrio de cómo la creciente complejidad de DeFi puede convertirse en su mayor responsabilidad.

Así que esto fue lo que sucedió el 22 de marzo. Resolv, un protocolo DeFi que había pasado por 18 auditorías de seguridad, fue comprometido. Pero no a través de un error en un contrato inteligente. En cambio, los atacantes obtuvieron acceso a su entorno AWS KMS donde el protocolo almacenaba sus claves de firma privilegiadas. Desde allí, el ataque fue casi ridículamente simple: acuñaron 80 millones de stablecoins USR sin respaldo y extrajeron aproximadamente 25 millones de dólares en valor antes de que alguien pudiera detenerlos.

Las mecánicas vale la pena entenderlas porque revelan una falla de diseño fundamental. El proceso de acuñación de Resolv no era completamente en la cadena. Cuando los usuarios querían acuñar USR, depositaban USDC a través de requestSwap, luego un servicio fuera de la cadena controlado por una clave privada autorizaba la cantidad real de acuñación mediante completeSwap. El contrato inteligente en sí no tenía un límite superior en la acuñación—solo verificaba que la firma fuera válida. Esa es la vulnerabilidad justo allí.

Los atacantes depositaron quizás entre 100 y 200 mil dólares en USDC en varias transacciones. Luego usaron la clave de firma comprometida para autorizar la acuñación de 50 millones de USR en una transacción, y luego 30 millones en otra. Dos transacciones, 80 millones de tokens, casi sin respaldo de colateral real. Desde allí, convirtieron a wstUSR (un derivado de staking), intercambiaron en otros stablecoins, bridgieron a ETH, y desaparecieron con aproximadamente 24 millones de dólares en ETH más algunas posiciones sobrantes.

Lo que es increíble es el impacto en el mercado. USR cayó un 80% cuando esto sucedió—bajando a 0,20 dólares antes de recuperarse a alrededor de 0,56. El protocolo tuvo que suspender todas las operaciones inmediatamente. Y aquí está lo que realmente destaca: todo este ataque se desarrolló en minutos. Para cuando alguien se dio cuenta de que algo andaba mal, el daño ya estaba hecho.

Este es el tipo de incidente que debería cambiar la forma en que pensamos sobre la infraestructura de DeFi. Los contratos inteligentes funcionaron exactamente como estaban diseñados. El problema fue que las suposiciones de seguridad del sistema dependían demasiado de la infraestructura en la nube y componentes fuera de la cadena. Cuando esa capa se compromete, el código en la cadena no importa. Necesitas mecanismos de detección en tiempo real y respuestas automáticas—no solo como complementos, sino como necesidades absolutas.

El artículo menciona cómo los sistemas de monitoreo podrían haber detectado esto. Si hubiera una regla que activara alertas cuando las proporciones de acuñación superaran los valores normales en 1.5 veces, esas dos transacciones masivas habrían sido señaladas al instante. O si hubiera una funcionalidad de pausa automática vinculada a eventos de acuñación inusuales, el protocolo podría haber detenido la hemorragia antes de que los 80 millones de tokens llegaran al mercado.

Por eso sigo diciendo: asume que las brechas sucederán. Asume que las claves serán comprometidas. Asume que la infraestructura fallará. La pregunta no es si, sino cuándo. Y cuando pase, necesitas mecanismos que puedan detectar y responder más rápido de lo que los atacantes pueden explotar. Resolv tenía las auditorías, las medidas de seguridad estándar, pero no tenía la capa de defensa en tiempo real que podría haber marcado la diferencia entre un incidente contenido y una pérdida de 25 millones de dólares.