Je viens de réaliser quelque chose d'inquiétant sur l'évolution de la DeFi. Le hack de Resolv à la fin mars est une étude de cas parfaite pour comprendre pourquoi nous devons repenser entièrement nos hypothèses de sécurité. Voici ce qui s’est passé, et pourquoi cela importe plus qu’un simple bug de contrat intelligent.

Le 22 mars, le protocole Resolv a été durement frappé. Un attaquant a créé environ 80 millions de USR stablecoins avec presque rien en garantie, en a extrait environ $25 millions de valeur, et a laissé le jeton se négocier à 0,20 $—une chute de 80 %. La partie la plus folle ? Le code du contrat intelligent a fonctionné exactement comme prévu. Ce n’était pas une vulnérabilité du code. C’était quelque chose de pire.

Le vrai problème réside dans la façon dont Resolv a conçu son système de minting. Lorsqu’on voulait créer des USR, ce n’était pas une simple transaction on-chain. Au lieu de cela, il y a ce processus en deux étapes : d’abord, vous déposez des USDC dans un contrat de contrepartie et demandez une création. Ensuite, un service hors chaîne avec une clé privée privilégiée approuve le nombre d’USR réellement créé. Le contrat lui-même n’avait aucune garde-fou—pas de limites supérieures, pas de vérifications de ratio, pas d’intégration oracle, rien. Juste une vérification de signature. Toute quantité signée avec cette clé pouvait théoriquement être créée.

Le chemin de l’attaquant était presque embarrassamment simple une fois qu’il avait la clé. Il a compromis l’environnement AWS KMS de Resolv où résident les clés de signature. Une fois à l’intérieur, il pouvait autoriser n’importe quoi. Il a déposé peut-être 100-200K $ en USDC via quelques transactions, puis a utilisé la clé SERVICE_ROLE volée pour signer la création de 50 millions d’USR en une seule transaction et 30 millions dans une autre. Soit 80 millions de tokens avec un collatéral minimal en garantie.

Ensuite, la partie blanchiment d’argent était classique. Ils ont converti l’USR en wstUSR( un dérivé de staking), puis échangé cela contre des stablecoins, puis contre de l’ETH, en utilisant plusieurs pools DEX et ponts pour dissimuler la traçabilité. À l’heure actuelle, ils détiennent environ 11 400 ETH d’une valeur d’environ $24 millions, plus 1,3 million de dollars en wstUSR dans leur adresse.

La réaction du marché a été instantanée et brutale. Toute cette offre non garantie a frappé simultanément les pools de liquidité, et le peg d’USR s’est effondré. Il s’est quelque peu redressé à 0,56 $ en quelques heures, mais le mal était fait. Resolv a dû suspendre toutes ses activités pour arrêter l’hémorragie.

Ce qui me dérange le plus : Resolv a tout fait dans les règles. Dix-huit audits de sécurité. Toutes les mesures de sécurité standard en place. Et pourtant, cela s’est produit parce que la véritable vulnérabilité ne se trouvait pas dans le code—elle était dans les hypothèses d’infrastructure. À mesure que la DeFi devient plus complexe et s’appuie davantage sur des services externes, l’infrastructure cloud et des clés privilégiées, la surface d’attaque explose bien au-delà de ce qui vit sur la chaîne.

La leçon est brutale. Dans un espace où les exploits peuvent s’exécuter en quelques minutes et où vous ne réalisez même pas que vous saignez jusqu’à ce qu’il soit trop tard, vous avez besoin de systèmes de surveillance en temps réel et de réponses automatisées. Pas des options agréables à avoir. Des nécessités absolues. Si Resolv avait des systèmes surveillant les ratios de minting anormaux—comme une $100K dépôt qui autorise soudainement 50 millions de tokens—ils auraient pu détecter cela instantanément. Ou si ils avaient configuré des pauses automatiques en cas d’événements de minting inhabituels, les 80 millions d’USR n’auraient jamais été mis sur le marché en premier lieu.

C’est la nouvelle réalité. Les contrats intelligents sont sécurisés. L’infrastructure est la faiblesse. Et lorsque la sécurité de votre protocole dépend de la sauvegarde des clés dans le cloud, vous n’achetez plus seulement des rapports d’audit. Vous misez tout sur la détection et la rapidité de réponse. Resolv a appris cette leçon à ses dépens.