La stablecoin USR s'effondre et se décroche ! Resolv expose une « faille de frappe » et perd 25 millions de dollars aux mains des pirates informatiques

Selon plusieurs rapports d’organismes de sécurité blockchain, la plateforme DeFi Resolv a été victime d’une attaque exploitant une vulnérabilité. Les hackers ont créé rapidement 80 millions de USR non garantis à un coût très faible, puis les ont vendus pour réaliser environ 25 millions de dollars, provoquant un décalage important du prix de l’USR et une réaction en chaîne sur le marché du prêt.

L’attaque a eu lieu vers 10h21 le 22 mars. Les données on-chain montrent que les hackers ont d’abord déposé 100 000 USDC dans le contrat intelligent de Resolv, pour échanger contre jusqu’à 50 millions d’USR, un ratio d’échange 500 fois supérieur à la normale. Ensuite, ils ont procédé à une deuxième transaction, créant 30 millions d’USR supplémentaires.

USR de @ResolvLabs se négocie à un centime, quelqu’un a créé 50 millions d’USR avec 100 000 USDChttps://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk

— YAM 🌱 (@yieldsandmore) 22 mars 2026

En tant que stablecoin prétendant être indexé à 1 dollar, l’USR ne repose pas sur des réserves de monnaie fiduciaire traditionnelles, mais maintient sa valeur via une stratégie de couverture delta-neutre utilisant des ETH et des BTC pour équilibrer ses positions.

Selon les données de DEX Screener, après la création initiale, l’USR a chuté à 0,025 dollar en seulement 17 minutes dans la pool de liquidités la plus profonde de Curve Finance. Bien qu’il ait brièvement rebondi à près de 0,85 dollar, il n’a pas encore retrouvé son ancrage à 1 dollar au moment de la rédaction.

Les hackers ont efficacement blanchi l’argent, l’autorité affirme que « la pool de garantie est intacte » suscite la controverse
Après leur coup, les hackers (dont l’adresse de portefeuille commence par 0x04A2) ont rapidement échangé ces USR créés de toute pièce contre USDC, USDT, puis converti le tout en ETH sur plusieurs DEX. Les données on-chain montrent que leur portefeuille détient désormais jusqu’à 11 409 ETH, d’une valeur d’environ 23,7 millions de dollars.

Après la révélation de l’incident, Resolv Labs a publié un communiqué sur la plateforme X, indiquant que tous les protocoles ont été suspendus, en insistant sur le fait que « la pool de garantie est intacte » et qu’aucun actif sous-jacent n’a été perdu. La société a qualifié cet incident de « simple faille dans le mécanisme d’émission de l’USR ».

Nous enquêtons actuellement sur un incident de sécurité impliquant une émission non autorisée d’USR.

À ce stade :

La pool de garantie reste entièrement intacte. Aucun actif sous-jacent n’a été perdu.

Le problème semble limité à la mécanique d’émission de l’USR.

Notre priorité immédiate est de :

1)…

— Resolv Labs (@ResolvLabs) 22 mars 2026

Contrôle des permissions comme s’il était inexistant
Bien que l’équipe tente de minimiser l’impact, les experts en sécurité ne sont pas convaincus. Andrew Hong, analyste de données on-chain, indique que la faille provient du compte privilégié « SERVICE_ROLE » responsable des demandes d’échange dans le protocole. Il est choquant de constater que ce rôle clé est contrôlé par un simple compte externe (EOA, c’est-à-dire un portefeuille individuel), plutôt que par un système de multi-signatures plus sécurisé. Pire encore, le contrat d’émission ne vérifie pas les prix via une oracle, ne contrôle pas la quantité créée, et n’a même pas de limite d’émission définie.

Le fonds d’investissement DeFi D2 Finance a identifié trois causes possibles : manipulation malveillante de l’oracle, intrusion dans la signature hors chaîne, ou absence de vérification de montant entre la demande d’émission et l’exécution. YieldsAndMore, qui a révélé l’incident en premier, déplore que pour une plateforme comme Resolv, disposant de fonds importants, les contrôles de sécurité fondamentaux soient absents.

Deddy Lavid, CEO de Cyvers, société spécialisée en sécurité blockchain, déclare : « C’est là que le vrai risque des stablecoins apparaît. Se limiter à des audits réguliers ne suffit pas. Sans surveillance en temps réel de la création et de l’offre de tokens, l’équipe est aveugle face à la crise. »

Une catastrophe imprévue : inflation invisible qui dépouille les petits investisseurs, effet domino sur le marché du prêt
Bien que Resolv affirme que la pool de garantie est « intacte » d’un point de vue technique, cette déclaration sous-estime la gravité de l’incident. Les analystes on-chain expliquent que l’attaque n’a pas simplement vidé le coffre-fort, mais a utilisé une méthode plus insidieuse : l’inflation de l’offre. La création soudaine de 80 millions de nouveaux tokens a instantanément dilué la valeur en circulation, tandis que la liquidation par les hackers a épuisé la liquidité de la pool. Cela signifie que les investisseurs détenant des USR ont vu leur patrimoine s’effondrer en un instant.

Ce chaos s’est rapidement propagé à d’autres marchés DeFi de prêt. Étant donné que USR et ses tokens dérivés sont acceptés comme collatéral par plusieurs plateformes (comme Morpho, Gauntlet), les spéculateurs ont saisi l’opportunité : acheter USR à bas prix, puis le prêter sur ces plateformes en utilisant la valorisation rigide de 1 USR = 1 dollar pour emprunter massivement USDC. Cette opération de « tirer profit de la situation » a vidé les réserves de liquidités des pools de prêt.

Une plateforme autrefois financée à des millions et auditée 14 fois, aujourd’hui en chute libre
Avant l’attaque, la plateforme Resolv voyait déjà ses fonds diminuer. La capitalisation de l’USR est passée d’un sommet de 400 millions de dollars début février à environ 100 millions de dollars au moment de l’incident.