Un attaquant a exploité une vulnérabilité dans le contrat de minting du stablecoin USR de Resolv le 22 mars 2026, créant environ 80 millions de tokens non garantis à partir d’environ 200 000 $ en USDC et extrayant une somme estimée à 25 millions de dollars, ce qui a fait chuter le prix de l’USR à 0,025 $ sur Curve avant une reprise partielle à environ 0,85 $.
L’exploitation provenait d’un rôle de minting privilégié contrôlé par un seul compte externe (EOA) sans limites de minting ni validation par oracle, permettant à l’attaquant de créer 50 millions d’USR en une transaction et 30 millions en une autre. Resolv Labs a suspendu toutes les fonctions du protocole après l’incident et a déclaré que sa réserve de collatéral « reste entièrement intacte » sans perte d’actifs sous-jacents, bien que les détenteurs existants d’USR aient subi des pertes immédiates dues à la dilution de l’offre.
L’attaquant a converti les stablecoins créés en environ 11 409 ETH (d’une valeur d’environ 23,7 millions de dollars) et détient en plus 1,1 million de dollars en tokens USR wrapped.
Mécanismes de l’attaque et vulnérabilités techniques
Chronologie de l’exploitation
L’attaque a débuté vers 2h21 UTC le 22 mars, avec la première transaction montrant l’attaquant déposant 100 000 USDC dans le contrat USR Counter de Resolv et recevant en retour 50 millions d’USR — environ 500 fois la quantité attendue. Une seconde transaction a minté 30 millions d’USR supplémentaires. Moins de 17 minutes après la première création, l’USR est tombé à 0,025 $ sur la pool la plus liquide de Curve Finance.
Cause principale : contrôles d’accès faibles
L’analyste on-chain Andrew Hong a attribué la brèche au rôle SERVICE_ROLE du protocole, un compte privilégié qui exécute les demandes d’échange. Les vulnérabilités critiques incluaient :
Contrôle par un seul EOA : le SERVICE_ROLE était contrôlé par un compte externe standard plutôt que par un portefeuille multisignature
Absence de limites de minting : le contrat de minting ne disposait pas de limites maximales
Absence de validation par oracle : aucune vérification de prix ou de garantie par oracle
Validation manquante des montants : aucune vérification entre les demandes de minting et leur exécution
Le fonds DeFi D2 Finance a proposé trois explications possibles pour l’exploitation : manipulation de l’oracle, compromission du signataire hors chaîne, ou absence de validation des montants entre la demande et l’exécution.
Contexte de l’analyse post-mortem
Le site de Resolv vantait 14 audits réalisés par cinq cabinets, une prime bug Immunefi de 500 000 $, et une surveillance continue des contrats intelligents. Malgré ces mesures, le protocole restait vulnérable à ce que des experts en sécurité décrivent comme un « point aveugle » dans la couverture de sécurité — des clés sensibles et des identifiants qui ne détiennent pas directement de fonds mais peuvent y accéder.
Ido Sofer, CEO de Sodot, spécialiste en gestion de clés, a noté : « Cela s’inscrit dans une tendance croissante d’attaques ciblant le point aveugle des équipes de sécurité — des clés et identifiants sensibles qui ne détiennent pas directement les fonds, mais peuvent y accéder. »
Impact sur le marché et pertes des utilisateurs
Chute et reprise du prix de l’USR
L’USR, stablecoin indexé sur le dollar utilisant une stratégie de couverture delta-neutre soutenue par ETH et BTC plutôt que par des réserves fiat, a chuté à 0,025 $ sur Curve dans les 17 minutes suivant la première création. Le token a ensuite rebondi à environ 0,85 $, mais n’a pas retrouvé son peg au matin du dimanche.
Liquidity et dégâts collatéraux
L’attaque a créé 80 millions de nouveaux tokens, diluant l’offre existante. La vente par l’attaquant de l’USR minté contre USDC, USDT, puis ETH a anéanti la liquidité des pools. Toute personne détenant de l’USR au moment de l’exploitation a subi des pertes immédiates.
La déconnexion du peg a entraîné une cascade dans les marchés de prêt DeFi. USR et son dérivé staké wstUSR ont été acceptés comme collatéral sur des plateformes comme Morpho et Gauntlet. Des traders opportunistes ont acheté USR à prix réduit et emprunté USDC contre lui à une valorisation fixe de 1 $, drainant la liquidité des vaults affectés.
Exposition à la couche d’assurance RLP
Les dégâts pourraient s’étendre à la tranche junior de Resolv, le Resolv Liquidity Pool (RLP), qui sert de couche d’assurance absorbant les pertes pour protéger les détenteurs d’USR. YieldsAndMore a indiqué que le RLP avait environ 38,6 millions de dollars en circulation avant l’exploitation. Le plus gros détenteur de RLP est Stream Finance, un protocole de rendement ayant déclaré une perte de 93 millions de dollars en novembre 2025 après qu’un gestionnaire de fonds externe a détourné des actifs. Stream détient une position RLP de 13,6 millions, représentant environ 17 millions de dollars en exposition nette, ce qui pourrait entraîner une perte importante pour ses déposants.
Contexte du protocole et de l’industrie
Présentation de Resolv
Resolv, basé à Abu Dhabi, a levé 10 millions de dollars en financement d’amorçage en avril 2025, mené par Cyber.Fund et Maven11, avec la participation de Coinbase Ventures, Arrington Capital et Animoca Ventures. Incubé via Delphi Labs, le protocole proposait un rendement par arbitrage de taux de financement et un système à double tranche associant l’USR à la couche d’assurance RLP, porteuse de risques.
Avant l’attaque, la capitalisation de marché de l’USR était passée d’environ 400 millions de dollars début février à environ 100 millions. Le jeton de gouvernance RESOLV a chuté d’environ 8,5 % après l’incident.
Tendances des exploits DeFi en 2026
L’incident Resolv s’ajoute à une série croissante d’exploits crypto début 2026 :
Janvier 2026 : Truebit a perdu 26,6 millions de dollars après qu’un attaquant a ciblé une vulnérabilité dans un contrat déployé il y a cinq ans
Janvier 2026 : Makina Finance a perdu environ 5 millions de dollars dans une pool stablecoin suite à une attaque de manipulation d’oracle par prêt flash
Un rapport Immunefi publié la semaine dernière indique que le coût moyen d’un hack crypto est désormais d’environ 25 millions de dollars, les cinq plus grands exploits de 2024-2025 représentant 62 % de tous les fonds volés.
Contexte réglementaire
Le moment de l’exploitation coïncide avec des débats législatifs actifs aux États-Unis sur la régulation des stablecoins à rendement sous la loi GENIUS. L’American Bankers Association a averti que ces produits pourraient détourner des dépôts des banques traditionnelles, tandis que des sénateurs clés ont atteint un « accord de principe » sur le traitement des stablecoins à rendement le 20 mars 2026.
Questions fréquentes
Comment a fonctionné l’exploitation de l’USR de Resolv ?
L’attaquant a exploité une vulnérabilité dans le contrat de minting de Resolv où un rôle privilégié (SERVICE_ROLE) était contrôlé par un seul compte externe sans limites de minting, validation par oracle ni vérification des montants. Il a déposé 100 000 USDC et reçu 50 millions d’USR (500x la quantité attendue), puis a minté 30 millions d’USR supplémentaires en une seconde transaction, créant environ 80 millions de tokens non garantis.
Resolv a-t-il perdu sa garantie de collatéral ?
Resolv Labs a déclaré que sa réserve de collatéral « reste entièrement intacte » sans actifs sous-jacents perdus. Cependant, cette affirmation minimise les dégâts, car l’attaque a pris la forme d’une inflation de l’offre plutôt que d’un vol direct des actifs de garantie. Les 80 millions de nouveaux tokens ont dilué l’offre existante d’USR, et la vente de l’attaquant a anéanti la liquidité des pools, causant des pertes immédiates pour les détenteurs d’USR.
Quel a été l’impact financier total de l’exploitation ?
L’attaquant a extrait environ 25 millions de dollars, convertissant l’USR minté en 11 409 ETH (d’une valeur d’environ 23,7 millions de dollars) et détenant en plus 1,1 million de dollars en tokens USR wrapped. Les détenteurs d’USR ont subi des pertes dues à la dilution de l’offre, et les plateformes de prêt DeFi acceptant USR comme collatéral ont connu des drains de liquidité alors que des traders exploitaient la déconnexion du peg pour emprunter contre des évaluations gonflées.
