O hack da Resolv aprofunda o caos no DeFi enquanto riscos críticos de stablecoin emergem

Uma vulnerabilidade importante no sistema de emissão de stablecoins USR da Resolv acionou o hack, provocando uma grave disrupção no mercado em várias plataformas DeFi interligadas.

Como se desenrolou a exploração do USR stablecoin

No domingo, um atacante sofisticado visou a infraestrutura de emissão do USR da Resolv e gerou aproximadamente 80 milhões de tokens não garantidos, drenando cerca de 25 milhões de dólares em Ether (ETH) do protocolo. A exploração destacou como uma única fraqueza na lógica de emissão de uma stablecoin pode desencadear uma crise de mercado mais ampla.

A atividade maliciosa começou por volta das 2h21 UTC, quando o perpetrador depositou 100.000 USDC no contrato USR Counter da Resolv. Em troca, o atacante recebeu um anômalo de 50 milhões de USR — aproximadamente 500 vezes o valor legítimo. Uma transação subsequente produziu mais 30 milhões de tokens. Juntos, esses atos inflaram a oferta de USR sem qualquer colateral correspondente.

Após a emissão não autorizada, o atacante trocou sistematicamente os USR fraudulentos por USDC e USDT em várias exchanges descentralizadas. Além disso, consolidou os lucros em ETH. Segundo dados on-chain, a carteira do atacante atualmente possui 11.409 ETH, avaliada em aproximadamente 23,7 milhões de dólares ao preço de mercado atual.

Depeg brutal na Curve e perdas pesadas para os detentores de USR

O USR, projetado para manter uma paridade de preço de 1 dólar, sofreu uma queda quase imediata. Apenas 17 minutos após a primeira emissão anômala, o token caiu para 0,025 dólares na Curve Finance. No entanto, o preço recuperou parcialmente, chegando a cerca de 0,85 dólares, mas permaneceu profundamente despegado durante a manhã de domingo.

A Resolv Labs anunciou na X que suspendeu todas as operações do protocolo. A equipe enfatizou que o fundo de garantia “permanece totalmente intacto” e insistiu que “nenhum ativo subjacente” foi comprometido, enquadrando o problema como “isolado à mecânica de emissão do USR”. Ainda assim, a reação do mercado indicou que os usuários não estavam totalmente tranquilizados.

Analistas de blockchain rapidamente apontaram que os detentores existentes de USR suportaram a maior parte dos danos. A súbita entrada de 80 milhões de novos tokens diluiu massivamente a circulação. Além disso, a venda agressiva do atacante drenou liquidez dos pools disponíveis. Investidores que possuíam USR durante o incidente enfrentaram perdas imediatas e significativas em seus portfólios.

Comprometimento de contas privilegiadas do protocolo e salvaguardas de emissão

Pesquisadores de segurança rastrearam rapidamente a exploração até controles de acesso críticos. O analista de segurança blockchain Andrew Hong identificou a origem da brecha em uma conta privilegiada designada como SERVICE_ROLE. Essa função altamente sensível alegadamente era gerenciada por uma única conta de propriedade externa, ao invés de uma estrutura de carteira multisignature mais segura.

O contrato de emissão do USR supostamente carecia de proteções essenciais, como verificação robusta de oráculos, validação adequada de valores e limites máximos de emissão. No entanto, essa fraqueza de design pode ter interagido com uma falha operacional mais profunda: exposição de credenciais privilegiadas. O incidente destacou como funções de governança podem se tornar pontos únicos de falha se não forem devidamente reforçadas.

A empresa de segurança Pashov, que auditou anteriormente o módulo de staking da Resolv em julho de 2025, disse à Cointelegraph que a causa raiz parece ser uma violação de chave privada, ao invés de uma falha no design arquitetônico central. Ainda assim, a empresa enfatizou que protocolos bem auditados continuam vulneráveis se as práticas de gerenciamento de chaves e segurança operacional não forem rigorosas.

Deddy Lavid, CEO da Cyvers, alertou que auditorias sozinhas não garantem segurança completa. “Auditorias por si só não são suficientes. Se você não monitorar a emissão e a oferta em tempo real, estará cego quando mais importar”, afirmou, destacando a necessidade de monitoramento contínuo e automatizado de ações privilegiadas.

Auditorias extensas, recompensas por bugs e lacunas no monitoramento em tempo real

A documentação oficial da Resolv lista 14 auditorias realizadas por cinco empresas de segurança diferentes. O projeto também anuncia um programa de recompensas de bugs de 500.000 dólares na Immunefi, além de sistemas de vigilância de contratos inteligentes em andamento. No entanto, o ataque bem-sucedido mostra que até investimentos extensos em segurança podem ser comprometidos por uma única falha operacional.

Observadores do setor notaram que a escala da perda está alinhada com tendências mais amplas. Um relatório recente da Immunefi revelou que o hack médio de criptomoedas causa aproximadamente 25 milhões de dólares em danos. Além disso, os cinco maiores exploits de 2024–2025 representaram 62% do valor total roubado no setor, evidenciando uma concentração persistente de risco.

Diante desse cenário, o hack da Resolv serve como estudo de caso sobre os limites de auditorias pré-implantação e recompensas por bugs. Monitoramento contínuo na cadeia, gerenciamento reforçado de chaves e controles rigorosos sobre funções privilegiadas parecem cada vez mais necessários para evitar incidentes semelhantes.

Efeitos de contágio no DeFi e respostas a nível de plataforma

O exploit se espalhou rapidamente pelo ecossistema DeFi mais amplo. Várias plataformas moveram-se para avaliar e reduzir sua exposição ao USR e ativos relacionados. Além disso, emitiram atualizações públicas para limitar o pânico dos usuários e evitar maior estresse sistêmico.

A Lido confirmou que os fundos dos usuários depositados na Lido Earn permaneceram seguros e não foram diretamente afetados pelo incidente. Stani Kulechov, fundador da Aave, afirmou que o protocolo de empréstimos não tinha exposição direta ao USR. Ele também disse que a Resolv estava ativamente pagando dívidas pendentes, sugerindo um esforço coordenado para conter efeitos em cascata.

Na plataforma de otimização de empréstimos Morpho, o cofundador Merlin Egalite esclareceu que apenas certos vaults tinham exposição ao USR, e não toda a plataforma. No entanto, esses riscos específicos ainda representavam desafios para pools específicos e seus provedores de liquidez, levando a revisões rápidas de governança e parâmetros de risco.

Negociações alavancadas e pressão nos mercados de empréstimos

Tanto o USR quanto seu derivado staked wstUSR foram aprovados como garantia em vários protocolos, incluindo Morpho e Gauntlet. Analistas de mercado relataram que traders oportunistas pareciam comprar USR a preços de distressed e usá-lo como garantia, tomando USDC próximo ao valor de 1 dólar.

Essa estratégia criou um descompasso perigoso entre o preço de mercado e a avaliação do colateral. Como resultado, os vaults afetados tiveram seus reserves de stablecoins drenados, enquanto o valor real do colateral que sustentava esses empréstimos já havia colapsado. No entanto, os mecanismos de risco e oráculos de algumas plataformas podem ainda ajustar-se ao longo do tempo para mitigar danos a longo prazo.

O token de tranche de seguro junior da Resolv, RLP, também enfrentou potencial deterioração de capital. A Stream Finance, que possui cerca de 13,6 milhões de RLP avaliados em aproximadamente 17 milhões de dólares, pode transmitir perdas adicionais aos seus depositantes. Além disso, a Stream já havia divulgado uma perda de 93 milhões de dólares em novembro de 2025, aumentando as preocupações sobre riscos acumulados para seus usuários.

No imediato, o token de governança da RESOLV caiu cerca de 8,5% em 24 horas. A queda refletiu preocupações diretas sobre a solvência do protocolo e dúvidas mais amplas sobre a arquitetura de segurança e resiliência operacional da plataforma.

Implicações mais amplas do bug na emissão do USR da Resolv

O hack da Resolv, impulsionado pela vulnerabilidade do stablecoin USR, ilustra como uma combinação de comprometimento de contas privilegiadas do protocolo e monitoramento em tempo real insuficiente pode minar preparações extensas de segurança. Além disso, reforça que eventos de depeg em grandes plataformas de liquidez podem rapidamente causar danos colaterais em empréstimos, staking e seguros.

No futuro, emissores de stablecoins e protocolos DeFi provavelmente enfrentarão maior escrutínio quanto ao gerenciamento de chaves, verificação de colaterais e vigilância de risco na cadeia. Em suma, o incidente da Resolv reforça uma lição dura para o setor: sem controles rigorosos sobre emissão e acesso privilegiado, mesmo sistemas altamente auditados podem falhar de forma catastrófica.