Acabei de ler sobre algo bastante sério que aconteceu com o Protocolo Resolv há alguns meses e acho que vale a pena comentar. Em março de 2025 confirmaram que sofreram um hacking onde alguém conseguiu cunhar $80 milhões em tokens USR sem autorização. O mais louco é que a perda real confirmada foi muito menor, cerca de $500K, mas o incidente expõe algo que muitos não dimensionam bem.

O que aconteceu foi que os atacantes obtiveram acesso a uma chave privada com permissões de cunhagem. Com isso na mão, simplesmente criaram 80 milhões de tokens USR do nada. A equipa do Resolv reagiu rápido, pausou o contrato inteligente imediatamente e queimou aproximadamente 9 milhões desses tokens fraudulentos. Basicamente, contiveram o dano antes que algo pior se desatasse.

Agora, o que é interessante na análise é que isso não foi uma falha do código do smart contract em si. Foi um hacking na infraestrutura off-chain que controla os privilégios administrativos. Aí está o ponto-chave: a segurança das chaves privadas administrativas é um ponto crítico que muitos subestimam. Uma única chave comprometida pode derrubar um protocolo completo.

Os especialistas em segurança há anos dizem o mesmo: precisam de multifirma, módulos de segurança de hardware, rotação de chaves regular. O Protocolo Resolv provavelmente foi vítima de phishing dirigido, malware nas máquinas dos devs, ou algo similar. Não sabemos exatamente como extraíram a chave, mas isso é o que a investigação forense deve revelar.

Quanto ao USR, é uma stablecoin algorítmica, não como USDC ou DAI que têm colateral. Depende de mecanismos algorítmicos e liquidez do protocolo para manter o preço. Quando de repente aparecem 80 milhões de tokens sem respaldo, a pressão de venda é brutal. Por isso, a resposta de emergência foi tão crítica.

Comparando com outros hacks notáveis em DeFi: Poly Network perdeu $611M em 2021, Wormhole Bridge $326M em 2022, Ronin Bridge $625M também em 2022. Nesse contexto, que o Resolv limitasse as perdas a $500K mostra uma boa resposta operacional, embora não elimine o fato de que o hacking ocorreu.

O que me parece importante destacar é que isso aconteceu num momento em que os reguladores já estavam de olho nas stablecoins. Incidentes como esse lhes dão munição para exigir supervisão mais rígida. Alguns veem isso como evidência de que os sistemas descentralizados precisam de mais proteções, outros argumentam que justamente a transparência e rapidez de resposta na blockchain é a vantagem.

Para o ecossistema DeFi mais amplo, acho que isso reforça algo óbvio mas que sempre se esquece: inovação tecnológica sem segurança operacional robusta é um desastre. O futuro provavelmente incluirá sistemas de monitoramento mais sofisticados, circuit breakers automáticos que detectem anomalias antes que um humano precise intervir.

A lição do hacking do Protocolo Resolv é clara: auditorias de smart contracts são necessárias mas não suficientes. A segurança da infraestrutura, a gestão de chaves, os procedimentos operacionais, tudo isso é igual ou mais crítico. Se constróis um protocolo com o melhor código do mundo mas tua chave privada está num post-it, estás em problemas.