A Resolv Labs destruiu 36,73 milhões de stablecoins USR detidas por um atacante através de uma atualização de contrato a 6 de abril de 2026, na sequência de um exploit em março em que uma chave comprometida permitiu ao atacante cunhar 80 milhões de tokens USR sem lastro com menos de $200,000 em colateral inicial e despejar aproximadamente 34 milhões de USR por 11,409 ETH (avaliados em cerca de $24,5 milhões).
O incidente deixou o protocolo com uma perda líquida estimada de aproximadamente $34 milhões, apesar de a Resolv Labs afirmar que a sua reserva de colateral continua intacta.
Atacante explorou chave de cunhagem off-chain para criar USR sem lastro
O exploit teve origem numa falha crítica no fluxo de cunhagem de USR da Resolv. Um único atacante, utilizando uma chave de serviço comprometida num processo de cunhagem off-chain em duas etapas, conseguiu gerar tokens USR não colateralizados em quantidade de 80 milhões. O atacante, em seguida, despejou aproximadamente 34 milhões de USR através de pools de liquidez DeFi, extraindo cerca de 11,409 ETH (avaliados em aproximadamente $24,5 milhões). Os restantes USR detidos pelo atacante foram mais tarde destruídos pela Resolv Labs através de uma atualização de contrato, removendo no total cerca de 46 milhões de USR do endereço do atacante.
O incidente fez com que o USR perdesse o seu peg, despenhando-se até $0.14 antes de recuperar parcialmente para a faixa de $0.23–$0.27. Empresas de análise on-chain estimaram lucros do atacante entre $23 milhões e $25 milhões, à medida que o token desancorou na Curve e noutros pools de liquidez.
Resolv Labs usa atualização de contrato para queimar as participações do hacker
Cerca de uma hora antes do anúncio, a Resolv Labs executou uma atualização de contrato que destruiu 36,73 milhões de USR detidos pelo endereço do atacante. A equipa removeu um total de cerca de 46 milhões de USR do endereço do atacante através da atualização. No entanto, o valor já extraído em ETH—aproximadamente 11,409 ETH (avaliados em cerca de $24,48 milhões)—permanece no endereço 0x8ED…81C, deixando o protocolo com um prejuízo económico real de cerca de $34 milhões.
No seu pós-mortem, a Resolv Labs sublinhou que a sua reserva de colateral “continua intacta” apesar da cunhagem de 80 milhões de USR impulsionada pelo exploit. Ainda assim, prestadores de liquidez e utilizadores com posições alavancadas, em protocolos integrados, absorveram a derrapagem de preços e forçaram a reversão de posições. O protocolo tinha pausado as operações após o exploit e implementado um plano de recuperação.
Riscos de gestão de chaves na DeFi destacados pelo exploit do USR
O exploit do USR tornou-se um caso de estudo de falhas de gestão de chaves na DeFi, suscitando comparações com outros recentes fracassos de stablecoins e com contágio no mercado de empréstimos. A Chainalysis descreveu o incidente como um caso em que um atacante conseguiu cunhar dezenas de milhões de stablecoins sem lastro e extrair cerca de $23 milhões de valor, salientando como uma chave de serviço comprometida num processo de cunhagem off-chain pode desencadear perdas sistémicas.
O episódio evidencia como controlos privilegiados podem simultaneamente permitir e mitigar falhas catastróficas em sistemas nominalmente descentralizados. Para traders e investidores, o incidente reaviva questões antigas sobre se stablecoins com rendimento conseguem escalar sem introduzir pontos únicos de falha. Protocolos DeFi com stablecoins comutáveis enfrentam agora uma pressão renovada para reforçar a lógica de cunhagem, rodar chaves e tratar a infraestrutura de backend com o mesmo rigor que os contratos inteligentes auditados.
FAQ
Como é que ocorreu o exploit da Resolv Labs?
O atacante comprometeu uma chave de serviço no processo de cunhagem off-chain em duas etapas da Resolv, permitindo-lhe cunhar tokens de USR sem lastro no valor de 80 milhões, com menos de $200,000 em colateral inicial. O atacante, em seguida, despejou aproximadamente 34 milhões de USR por 11,409 ETH (cerca de $24,5 milhões) antes de a Resolv queimar as restantes participações através de uma atualização de contrato.
Qual foi o impacto financeiro do exploit?
O atacante extraiu aproximadamente 11,409 ETH no valor de cerca de $24,5 milhões. A Resolv Labs enfrenta uma perda líquida estimada de aproximadamente $34 milhões, apesar de queimar 36,73 milhões de USR detidos pelo atacante. A stablecoin USR perdeu a ancoragem, caindo até $0.14 antes de recuperar parcialmente.
Que medidas tomou a Resolv Labs após o exploit?
A Resolv Labs pausou as operações, implementou um plano de recuperação e usou uma atualização de contrato para destruir 36,73 milhões de USR detidos pelo atacante. A equipa removeu aproximadamente 46 milhões de USR do endereço do atacante. O protocolo declarou que a sua reserva de colateral permanece intacta apesar do exploit.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
