Trocar 200.000 por quase 100 milhões, os stablecoins DeFi sofrem novo ataque

Artigo: Eric, Foresight News

Às 10:21, hora de Pequim, de hoje, a Resolv Labs, que emitiu a stablecoin USR utilizando uma estratégia Delta neutra, foi alvo de um ataque hacker. Um endereço começando com 0x04A2 utilizou 100 mil USDC para cunhar 50 milhões de USR a partir do protocolo da Resolv Labs.

Com a divulgação do incidente, o USR caiu para cerca de 0,25 dólares, e até a publicação deste artigo, recuperou-se para cerca de 0,8 dólares. O preço do token RESOLV também registrou uma queda de quase 10% em seu pico.

Em seguida, o hacker repetiu a operação, utilizando novamente 100 mil USDC para cunhar 30 milhões de USR. Com a desvalorização acentuada do USR, os traders de arbitragem agiram rapidamente; muitos mercados de empréstimos que suportavam USR, wstUSR, e outros como colaterais na Morpho foram quase completamente esvaziados, e o Lista DAO na BNB Chain também suspendeu novos pedidos de empréstimos.

Os impactos não se limitaram a esses protocolos de empréstimos. No design do protocolo da Resolv Labs, os usuários também podem cunhar um token RLP, que tem uma volatilidade de preço maior e um rendimento superior, mas que exige que os usuários assumam responsabilidade pela compensação em caso de perdas no protocolo. Atualmente, a circulação do token RLP está próxima de 30 milhões de unidades, com o maior detentor, a Stream Finance, possuindo mais de 13 milhões de RLP, com uma exposição ao risco líquida de cerca de 17 milhões de dólares.

De fato, a Stream Finance, que já havia enfrentado problemas anteriormente com o xUSD, pode estar prestes a sofrer um novo golpe.

Até a publicação deste artigo, o hacker já havia convertido USR em USDC e USDT, e continuava comprando Ethereum, já tendo adquirido mais de 10 mil unidades. Com 200 mil USDC, o hacker conseguiu retirar mais de 20 milhões de dólares em ativos, encontrando durante o mercado em baixa a sua “moeda de cem vezes”.

Outra vez “explorada” por falta de rigor

A queda de 11 de outubro do ano passado fez com que muitas stablecoins emitidas utilizando a estratégia Delta neutra sofressem perdas colaterais devido ao ADL (Auto Deleveraging). Alguns projetos que utilizavam altcoins como ativos para executar estratégias sofreram perdas ainda mais significativas, com alguns até fugindo.

A Resolv Labs, que foi atacada desta vez, também utilizou um mecanismo semelhante para emitir o USR. O projeto anunciou em abril de 2025 que havia concluído uma rodada de financiamento semente de 10 milhões de dólares liderada pela Cyber.Fund e Maven11, com a participação da Coinbase Ventures, e lançou o token RESOLV no final de maio e início de junho.

No entanto, a razão pela qual a Resolv Labs foi atacada não foi uma situação de mercado extremo, mas sim um design de mecanismo de cunhagem do USR que era “insuficientemente rigoroso”.

Até o momento, nenhuma empresa de segurança ou entidade oficial analisou as causas do ataque hacker. A comunidade DeFi YAM, através de análise, chegou à conclusão preliminar de que o ataque provavelmente ocorreu porque o SERVICE_ROLE no backend do protocolo, utilizado para fornecer parâmetros ao contrato de cunhagem, foi controlado pelo hacker.

Segundo a análise da Grok, quando um usuário cunha USR, ele inicia um pedido na blockchain e chama a função requestMint do contrato, cujos parâmetros incluem:

_depositTokenAddress: endereço do token depositado;

_amount: quantidade depositada;

_minMintAmount: quantidade mínima de USR esperada (para evitar slippage).

Após isso, o usuário deposita USDC ou USDT no contrato, e o SERVICE_ROLE do backend do projeto monitora o pedido, utilizando um oráculo Pyth para verificar o valor do ativo depositado, e então chama as funções completeMint ou completeSwap para decidir a quantidade real de USR a ser cunhada.

O problema reside no fato de que o contrato de cunhagem confia totalmente no _mintAmount fornecido pelo SERVICE_ROLE, acreditando que esse número foi verificado fora da blockchain pelo Pyth, e portanto não estabelece um limite máximo, nem valida através de um oráculo na blockchain, executando diretamente mint(_mintAmount).

Com base nisso, o YAM suspeita que o hacker controlou o SERVICE_ROLE, que deveria ser controlado pelo projeto (possivelmente devido ao controle inadequado do oráculo interno, roubo ou comprometimento de chaves), e ao cunhar, definiu diretamente o _mintAmount como 50 milhões, realizando assim o ataque que permitiu cunhar 50 milhões de USR com 100 mil USDC.

Em última análise, a conclusão da Grok é que a Resolv não considerou em seu design de protocolo a possibilidade de que o endereço (ou contrato) utilizado para receber os pedidos de cunhagem dos usuários poderia ser controlado por um hacker, e não estabeleceu um limite máximo de cunhagem quando o pedido de cunhagem de USR foi enviado ao contrato final de cunhagem, nem fez com que o contrato de cunhagem validasse os parâmetros fornecidos pelo SERVICE_ROLE através de um oráculo na blockchain.

Prevenção também não foi adequada

Além de especular sobre as razões da invasão, o YAM também apontou a falta de preparação do projeto para responder à crise.

O YAM afirmou no X que a Resolv Labs só suspendeu o protocolo 3 horas após a primeira conclusão do ataque, sendo que cerca de 1 hora do atraso foi devido à necessidade de coletar as 4 assinaturas exigidas para a transação de multi-assinatura. O YAM acredita que a suspensão de emergência deveria exigir apenas uma assinatura, e que os poderes deveriam ser distribuídos o máximo possível entre os membros da equipe ou operadores externos confiáveis, aumentando assim a atenção a situações anormais na blockchain e melhorando a possibilidade de uma suspensão rápida, cobrindo melhor diferentes fusos horários.

Embora a sugestão de que apenas uma assinatura seja necessária para suspender o protocolo possa ser um tanto radical, a exigência de várias assinaturas de diferentes fusos horários para suspender o protocolo realmente pode atrasar decisões importantes em situações de emergência. A introdução de terceiros confiáveis que monitoram continuamente o comportamento na blockchain, ou o uso de ferramentas de monitoramento com autoridade para suspender o protocolo em emergências, são lições que emergem deste incidente.

Os ataques de hackers a protocolos DeFi já não se limitam a vulnerabilidades de contratos; o incidente da Resolv Labs serve de alerta para os projetos de que as suposições sobre a segurança do protocolo não devem confiar em qualquer um dos elos, e que todos os processos que envolvem parâmetros devem passar por pelo menos uma verificação secundária, mesmo aqueles que são operados pela própria equipe do projeto.