La faille Resolv s'aggrave et les risques critiques des stablecoins se manifestent dans le DeFi

Une vulnérabilité majeure dans le système de minting du stablecoin USR de Resolv a déclenché le piratage de resolv, provoquant de graves perturbations sur plusieurs plateformes DeFi interconnectées.

Comment l’exploitation du stablecoin USR s’est déroulée

Dimanche, un attaquant sophistiqué a ciblé l’infrastructure d’émission de USR de Resolv et a généré environ 80 millions de jetons non garantis, drainant finalement environ 25 millions de dollars en Ether (ETH) du protocole. L’exploitation a mis en évidence comment une seule faiblesse dans la logique de minting d’un stablecoin peut entraîner une crise plus large sur le marché.

L’activité malveillante a commencé vers 2h21 UTC, lorsque l’attaquant a déposé 100 000 USDC dans le contrat USR Counter de Resolv. En échange, il a reçu une quantité anormale de 50 millions de USR — environ 500 fois la quantité légitime. Une transaction suivante a produit 30 millions de jetons supplémentaires. Ensemble, ces actions ont gonflé l’offre de USR sans aucune garantie correspondante.

Après cette émission non autorisée, l’attaquant a systématiquement échangé les USR frauduleux contre USDC et USDT sur plusieurs échanges décentralisés. De plus, il a consolidé les gains en ETH. Selon les données on-chain, le portefeuille de l’attaquant détient actuellement 11 409 ETH, évalués à environ 23,7 millions de dollars selon les prix du marché.

Dépeg brutal sur Curve et pertes importantes pour les détenteurs de USR

USR, conçu pour maintenir un ancrage à 1 dollar, a connu un effondrement quasi immédiat. Seulement 17 minutes après la première émission anormale, le jeton est tombé à 0,025 dollar sur Curve Finance. Cependant, le prix a rapidement connu une reprise partielle, rebondissant à environ 0,85 dollar, mais il est resté profondément dépegé tout dimanche matin.

Resolv Labs a annoncé sur X avoir suspendu toutes les opérations du protocole. L’équipe a insisté sur le fait que la réserve de garanties « reste entièrement intacte » et a affirmé que « aucun actif sous-jacent » n’avait été compromis, qualifiant le problème d’« isolé à la mécanique d’émission de USR ». Cependant, la réaction du marché a montré que les utilisateurs n’étaient pas rassurés.

Les analystes blockchain ont rapidement souligné que les détenteurs actuels de USR ont subi le plus de dommages. L’afflux soudain de 80 millions de nouveaux jetons a massivement dilué l’offre en circulation. De plus, la vente agressive de l’attaquant a drainé la liquidité des pools disponibles. Tout investisseur détenant USR lors de l’incident a subi des pertes immédiates et importantes.

Compromission de comptes privilégiés du protocole et protections de minting

Les chercheurs en sécurité ont rapidement identifié la cause de l’exploitation dans des contrôles d’accès critiques. L’analyste en sécurité blockchain Andrew Hong a identifié l’origine de la faille dans un compte privilégié désigné comme SERVICE_ROLE. Ce rôle très sensible était apparemment géré par un seul compte externe, plutôt que par une structure de portefeuille multisignature plus sécurisée.

Le contrat de minting USR manquait apparemment de protections clés telles qu’une vérification robuste des oracles, une validation correcte des montants, et des seuils maximaux de minting. Cependant, cette faiblesse de conception pourrait avoir interagi avec une défaillance opérationnelle plus profonde : l’exposition de crédentiels privilégiés. L’incident a mis en lumière comment les rôles de gouvernance peuvent devenir des points de défaillance uniques s’ils ne sont pas correctement renforcés.

La société de sécurité Pashov, qui avait précédemment audité le module de staking de Resolv en juillet 2025, a déclaré à Cointelegraph que la cause principale semble être une compromission de clé privée plutôt qu’une faille dans la conception architecturale. Cela dit, la société a souligné que même les protocoles bien audités restent vulnérables si la gestion des clés et les pratiques de sécurité opérationnelle ne sont pas strictes.

Deddy Lavid, CEO de Cyvers, a averti que les audits seuls ne peuvent garantir une sécurité totale. « Les audits seuls ne suffisent pas. Si vous ne surveillez pas en temps réel le minting et l’offre, vous êtes aveugle quand cela compte le plus », a-t-il déclaré, soulignant la nécessité d’une surveillance continue et automatisée des actions privilégiées.

Audits approfondis, programmes de bug bounty et lacunes en surveillance en temps réel

La documentation officielle de Resolv indique 14 missions d’audit réalisées par cinq sociétés de sécurité différentes. Le projet propose également un programme de bug bounty de 500 000 dollars sur Immunefi, ainsi que des systèmes de surveillance continue des contrats intelligents. Cependant, l’attaque réussie montre que même des investissements importants en sécurité peuvent être compromis par une seule erreur opérationnelle.

Les observateurs du secteur ont noté que l’ampleur des pertes s’aligne avec des tendances plus larges. Un rapport récent d’Immunefi indique que la moyenne des hacks de cryptomonnaies cause désormais environ 25 millions de dollars de dégâts. De plus, les cinq plus grands exploits de 2024-2025 ont représenté 62 % de la valeur totale volée dans le secteur, soulignant une concentration persistante des risques.

Dans ce contexte, le piratage de resolv sert de cas d’étude sur les limites des audits pré-déploiement et des programmes de bug bounty. La surveillance continue en chaîne, le renforcement de la gestion des clés, et des contrôles stricts sur les rôles privilégiés semblent de plus en plus nécessaires pour prévenir des incidents similaires.

Effets de contagion dans la DeFi et réponses au niveau des plateformes

L’exploitation s’est rapidement propagée dans l’écosystème DeFi plus large. De nombreuses plateformes ont commencé à évaluer et réduire leur exposition à USR et aux actifs liés. De plus, elles ont publié des mises à jour publiques pour limiter la panique des utilisateurs et prévenir une nouvelle crise systémique.

Lido a confirmé que les fonds déposés sur Lido Earn sont restés sécurisés et n’ont pas été directement affectés par l’incident. Stani Kulechov, fondateur d’Aave, a déclaré que le protocole de prêt n’avait aucune exposition directe à USR. Il a également indiqué que Resolv remboursait activement ses dettes en cours, suggérant un effort coordonné pour contenir les effets en cascade.

Concernant Morpho, co-fondateur Merlin Egalite a précisé que seules certaines vaults étaient exposées à USR, et non l’ensemble de la plateforme. Cependant, ces risques ciblés posaient encore des défis pour certains pools et leurs fournisseurs de liquidité, ce qui a conduit à des revues rapides de la gouvernance et des paramètres de risque.

Trades à effet de levier et pression sur les marchés de prêt

USR et son dérivé staké wstUSR ont été approuvés comme garanties sur plusieurs protocoles, notamment Morpho et Gauntlet. Les analystes ont rapporté que des traders opportunistes ont acheté USR à des prix dégradés, puis l’ont utilisé comme garantie, empruntant USDC à près de la valeur nominale de 1 dollar.

Cette stratégie a créé un décalage dangereux entre le prix du marché et la valeur de la garantie. En conséquence, certains vaults ont vu leurs réserves en stablecoins drainées, alors que la valeur réelle des garanties de ces prêts s’était déjà effondrée. Cependant, certains moteurs de risque et oracles sur certaines plateformes peuvent encore s’ajuster avec le temps pour atténuer les dégâts à long terme.

Le jeton tranche d’assurance junior de Resolv, RLP, a également été confronté à un risque potentiel d’altération du capital. Stream Finance, qui détient environ 13,6 millions de RLP évalués à environ 17 millions de dollars, pourrait transmettre des pertes supplémentaires à ses déposants. De plus, Stream avait précédemment déclaré une perte de 93 millions de dollars en novembre 2025, ce qui augmente les inquiétudes concernant le risque cumulé pour ses utilisateurs.

Dans l’immédiat, le token de gouvernance RESOLV a chuté d’environ 8,5 % en 24 heures. La baisse reflète à la fois des préoccupations directes sur la solvabilité du protocole et des doutes plus larges sur l’architecture de sécurité et la résilience opérationnelle de la plateforme.

Implications plus larges de la faille de minting USR de resolv

Le piratage resolv, causé par la vulnérabilité du stablecoin USR, illustre comment une combinaison de compromission d’un compte privilégié du protocole et d’un manque de surveillance en temps réel peut compromettre des mesures de sécurité étendues. De plus, il souligne que les événements de dépeg sur les principales plateformes de liquidité peuvent rapidement causer des dommages collatéraux à travers le prêt, le staking et l’assurance.

À l’avenir, les émetteurs de stablecoins et les protocoles DeFi seront probablement soumis à un examen renouvelé concernant la gestion des clés, la vérification des garanties et la surveillance des risques en chaîne. En résumé, l’incident Resolv renforce une leçon essentielle pour l’industrie : sans contrôles stricts autour du minting et de l’accès privilégié, même les systèmes fortement audités peuvent échouer de manière catastrophique.