Um atacante explorou uma vulnerabilidade no contrato de emissão de stablecoin USR da Resolv em 22 de março de 2026, criando aproximadamente 80 milhões de tokens não garantidos a partir de cerca de $200.000 em USDC e extraindo um valor estimado de $25 milhões, fazendo com que o USR caísse para $0,025 na Curve antes de se recuperar parcialmente para cerca de $0,85.
A exploração resultou de uma função de cunhagem privilegiada controlada por uma única conta externa (EOA) sem limites de emissão ou validação de oráculo, permitindo ao atacante cunhar 50 milhões de USR em uma transação e 30 milhões em outra. A Resolv Labs suspendeu todas as funções do protocolo após o incidente e afirmou que seu fundo de garantia “permanece totalmente intacto” sem perda de “ativos subjacentes”, embora os detentores existentes de USR tenham sofrido perdas imediatas devido à diluição da oferta.
O atacante converteu os stablecoins cunhados em aproximadamente 11.409 ETH (valendo cerca de $23,7 milhões) e possui ainda $1,1 milhão em tokens USR embrulhados.
Mecânica do Ataque e Vulnerabilidades Técnicas
Cronologia da Exploração
O ataque começou por volta das 2h21 UTC de 22 de março, com a primeira transação mostrando o atacante depositando 100.000 USDC no contrato USR Counter da Resolv e recebendo 50 milhões de USR em troca — aproximadamente 500 vezes o valor esperado. Uma segunda transação cunhou mais 30 milhões de USR. Em 17 minutos após a primeira cunhagem, o USR caiu para $0,025 na pool mais líquida da Curve Finance.
Causa Raiz: Controles de Acesso Fracos
O analista on-chain Andrew Hong atribuiu a brecha à função SERVICE_ROLE do protocolo, uma conta privilegiada que realiza solicitações de troca. Vulnerabilidades críticas incluíram:
Controle de EOA único: A ROLE de serviço era controlada por uma conta externa padrão, e não por uma carteira multiassinatura
Sem limites de cunhagem: O contrato de emissão não possuía limites máximos de cunhagem
Sem validação de oráculo: Não havia verificações de preço ou garantia de colaterais por oráculos
Falta de validação de quantidade: Não havia validação entre solicitações de cunhagem e finalizações
A fundação DeFi D2 Finance sugeriu três possíveis explicações para o ataque: manipulação de oráculo, comprometimento do assinante off-chain ou ausência de validação de quantidade entre a solicitação e a finalização.
Contexto do Relatório de Segurança
O site da Resolv divulgou 14 auditorias realizadas por cinco empresas, um bug bounty de $500.000 na Immunefi e monitoramento contínuo de contratos inteligentes. Apesar dessas medidas, o protocolo permaneceu vulnerável a uma “zona cega” na cobertura de segurança — chaves sensíveis e credenciais que não detêm fundos diretamente, mas podem ser usadas para acessá-los.
Ido Sofer, CEO da Sodot, empresa de gestão de chaves, comentou: “Isso se conecta a uma tendência crescente de ataques focados na zona cega das equipes de segurança — chaves sensíveis e credenciais que não detêm fundos diretamente, mas podem ser usadas para acessá-los.”
Impacto no Mercado e Perdas dos Usuários
Queda e Recuperação do Preço do USR
O USR, uma stablecoin atrelada ao dólar que usa uma estratégia de hedge delta-neutro apoiada por ETH e BTC, caiu para $0,025 na Curve em 17 minutos após a primeira cunhagem. O token posteriormente recuperou para aproximadamente $0,85, mas ainda não restabeleceu sua paridade na manhã de domingo.
Liquidez e Danos Colaterais
O ataque criou 80 milhões de novos tokens, diluindo a oferta existente. A venda dos USR cunhados por USDC, USDT e, por fim, ETH, esvaziou a liquidez da pool. Quem possuía USR na hora do ataque enfrentou perdas imediatas.
A desvalorização se propagou para os mercados de empréstimos DeFi. USR e seu derivado staked wstUSR foram aceitos como garantia em plataformas como Morpho e Gauntlet. Traders oportunistas compraram USR a preços de mercado descontados e tomaram empréstimos de USDC contra ele, usando uma avaliação fixa de $1, drenando liquidez de stablecoins dos cofres afetados.
Exposição à Camada de Seguro RLP
Os danos podem se estender ao tranche júnior da Resolv, o Resolv Liquidity Pool (RLP), que funciona como uma camada de seguro para absorver perdas e proteger os detentores de USR. A YieldsAndMore informou que o RLP tinha aproximadamente $38,6 milhões em circulação antes do ataque. O maior detentor do RLP é a Stream Finance, que revelou uma perda de $93 milhões em novembro de 2025 após um gestor externo desviar ativos. A Stream possui uma posição de 13,6 milhões de RLP na Morpho, representando cerca de $17 milhões em exposição líquida, o que significa que seus depositantes podem enfrentar outra perda significativa.
Contexto do Protocolo e da Indústria
Visão Geral da Resolv
Com sede em Abu Dhabi, a Resolv levantou uma rodada seed de $10 milhões em abril de 2025, liderada pela Cyber.Fund e Maven11, com participação da Coinbase Ventures, Arrington Capital e Animoca Ventures. Incubada na Delphi Labs, a plataforma oferecia rendimento por arbitragem de taxa de financiamento e um sistema de tranches duais que combinava USR com a camada de seguro RLP de risco.
Antes do ataque, a capitalização de mercado do USR já havia caído de aproximadamente $400 milhões no início de fevereiro para cerca de $100 milhões. O token de governança RESOLV caiu cerca de 8,5% após o incidente.
Tendências de Exploração DeFi em 2026
O incidente da Resolv soma-se a uma série crescente de exploits em criptomoedas no início de 2026:
Janeiro de 2026: Truebit perdeu $26,6 milhões após um atacante explorar uma vulnerabilidade em um contrato inteligente implantado há cinco anos
Janeiro de 2026: Makina Finance perdeu cerca de $5 milhões de um pool de stablecoins após um ataque de manipulação de oráculo com flash loan
Um relatório da Immunefi divulgado na semana passada revelou que o custo médio de um hack de criptomoeda agora é de cerca de $25 milhões, com os cinco maiores exploits de 2024-2025 representando 62% de todos os fundos roubados.
Contexto Regulatório
O timing do ataque coincide com debates legislativos nos EUA sobre a regulamentação de stablecoins que geram rendimento, sob a lei GENIUS. A American Bankers Association alertou que esses produtos podem desviar depósitos dos bancos tradicionais, enquanto senadores-chave chegaram a um “acordo de princípio” sobre o tratamento de yield de stablecoins em 20 de março de 2026.
Perguntas Frequentes
Como funcionou a exploração do USR na Resolv?
O atacante explorou uma vulnerabilidade no contrato de cunhagem da Resolv, onde uma função privilegiada (SERVICE_ROLE) era controlada por uma única conta externa sem limites de cunhagem, validação de oráculo ou checagem de quantidade. Depositou 100.000 USDC e recebeu 50 milhões de USR (500x o esperado), depois cunhou mais 30 milhões em uma segunda transação, criando aproximadamente 80 milhões de tokens não garantidos.
A Resolv perdeu seu respaldo de garantia?
A Resolv Labs afirmou que seu fundo de garantia “permanece totalmente intacto” sem ativos subjacentes perdidos. Contudo, essa afirmação minimiza os danos, pois o ataque foi uma inflação de oferta, não um roubo direto dos ativos de garantia. Os 80 milhões de tokens diluíram a oferta de USR existente, e a venda do atacante esvaziou a liquidez da pool, causando perdas imediatas para os detentores de USR.
Qual foi o impacto financeiro total do ataque?
O atacante extraiu aproximadamente $25 milhões, convertendo USR cunhado em 11.409 ETH (valor de cerca de $23,7 milhões) e mantendo $1,1 milhão em tokens USR embrulhados. Os detentores de USR enfrentaram perdas por diluição de oferta, e plataformas de empréstimo DeFi que aceitaram USR como garantia sofreram drenagem de liquidez, à medida que traders exploraram a desvalorização para tomar empréstimos contra avaliações inflacionadas.
