Stablecoin Resolv Labs se déplie, plonge de 74% après l'exploit $25M

En résumé

• La stablecoin USR de la plateforme DeFi Resolv Labs a perdu son ancrage et a chuté de plus de 70 % suite à une exploitation dimanche.
• Un attaquant a exploité le contrat de la stablecoin USR en utilisant une clé compromise, et a créé 80 millions de tokens.
• Le hacker a encaissé environ 25 millions de dollars via divers protocoles DeFi.

La stablecoin USR de Resolv Labs a perdu son lien avec le dollar américain et a chuté de plus de 70 % après qu’un attaquant ait exploité son contrat pour créer 80 millions de tokens non garantis. Selon un tweet de la plateforme DeFi, l’attaque a exploité une « clé privée compromise » pour créer pour 80 millions de dollars de USR non garanti. Un rapport post-mortem de la société de forensic blockchain Chainalysis indique que l’attaquant a rapidement converti l’USR non garanti en une version stakée, wstUSR, avant de l’échanger contre d’autres stablecoins puis contre Ethereum.

Cet avis est émis au nom de Resolv Digital Assets Ltd. concernant le protocole Resolv.

Plus tôt aujourd’hui, un acteur malveillant a accédé de manière non autorisée à l’infrastructure de Resolv via une clé privée compromise, ce qui a entraîné la création d’environ 80 millions de dollars de…

— Resolv Labs (@ResolvLabs) 22 mars 2026

Au total, les attaquants ont extrait environ 25 millions de dollars, a noté Chainalysis. Suite à l’exploitation, USR a perdu son ancrage au dollar américain, chutant de plus de 74 % selon CoinGecko, alors que l’attaquant a procédé à la liquidation des tokens créés illégalement. Resolv Labs a indiqué qu’environ 9 millions de dollars en USR ont été brûlés afin de « réduire l’impact potentiel », tandis que la plateforme DeFi « collabore avec les autorités et des sociétés d’analyse on-chain » pour identifier les hackers responsables et contenir l’USR créé illicitement. La société a suspendu toutes les fonctions du protocole suite à l’incident, et prépare la reprise des rachats pour l’« USR pré-incident », en commençant par les utilisateurs en liste blanche. Selon une analyse de la plateforme de données RootData, la méthode d’attaque pourrait avoir impliqué « des oracles manipulés, des clés de signataires hors chaîne divulguées » ou d’autres vulnérabilités dans le mécanisme de création. Chainalysis a rapporté que l’attaque a été rendue possible parce que les approbations de création dépendaient d’un « service hors chaîne utilisant une clé privée privilégiée pour signer la quantité d’USR pouvant être créée », le contrat intelligent ne limitant pas la quantité maximale d’USR pouvant être mintée. Le fonds crypto D2 Finance a qualifié le processus de liquidation de « chemin classique de sortie lors d’un hacking DeFi », avec les attaquants envoyant USR par lots à plusieurs protocoles de liquidité tout en privilégiant de grosses ventes.

Ceci s’inscrit dans une série récente d’incidents de sécurité dans le secteur DeFi, notamment la décision du protocole Solana Step Finance de se retirer quelques semaines après avoir subi un piratage de 29 millions de dollars, et une erreur d’oracle qui a laissé le prêteur DeFi Moonwell avec 1,8 million de dollars de créances douteuses.