Arturo TrenardExplotación de Contrato Despega la Stablecoin USR de Resolv Labs: Atacante Acuña 80 Millones de Tokens y Extrae $25 Millones
Un fallo en la función de acuñación del protocolo Resolv Labs permitió a un atacante crear aproximadamente 80 millones de tokens USR sin el respaldo adecuado, utilizando solo $100,000. La explotación provocó que la stablecoin perdiera su paridad con el dólar, desplomándose hasta un 2.5% de su valor y permitiendo al atacante extraer ganancias estimadas en $25 millones, según el análisis de la firma D2 Finance.
Cronología y Mecánica del Ataque
El domingo, Resolv Labs anunció a través de la red social X que su protocolo había sido explotado, confirmando la acuñación de 50 millones de tokens USR “sin el respaldo adecuado”. La alerta inicial, proveniente de la cuenta de análisis @yieldsandmore, mostró datos on-chain de una acuñación masiva a las 2:21 AM UTC. La firma de seguridad PeckShield identificó posteriormente una acuñación adicional de 30 millones de USR, llevando el total a unos 80 millones de tokens.
La Vulnerabilidad Técnica
El análisis de D2 Finance señaló que la “función de acuñación estaba rota”. La firma planteó varias hipótesis para la falla, incluyendo la posible manipulación de un oráculo de precios, el compromiso de un firmante off-chain o una falta de validación en las cantidades acuñadas. La explotación de un defecto fundamental en el contrato inteligente subraya la severidad del incidente.
La Estrategia de Salida y el Impacto en el Mercado
“Cashout a Toda Velocidad”
Tras la acuñación fraudulenta, el atacante movió rápidamente los tokens USR a múltiples protocolos DeFi. Su estrategia consistió en canjear de forma “agresiva” los USR por USDC y USDT, y posteriormente por Ethereum (ETH). D2 Finance describió la maniobra como “un cashout de hackeo DeFi de libro de texto ejecutado a toda velocidad”.
El Despegue y la Caída Libre
La venta masiva agotó la liquidez disponible, causando un deslizamiento de precio extremo. Los datos on-chain muestran que USR se vendió a precios tan bajos como $0.50, con transacciones fallidas que indicaban la urgencia del atacante. El impacto fue más severo en un pool de liquidez de Curve Finance (USR/USDC), donde el precio del token se desplomó a un mínimo histórico de $0.025, apenas 17 minutos después de la acuñación inicial.
Según datos de DEX Screener y CoinGecko, el precio de USR se ha recuperado parcialmente y actualmente cotiza alrededor de $0.87, lo que representa una desviación del 13% respecto a su paridad. El volumen de operaciones en las últimas 24 horas en el pool principal de Curve supera los $3.6 millones.
Respuesta, Pérdidas y Contexto
Acciones de Resolv Labs y Balance Final
Como respuesta inmediata, el equipo de Resolv Labs pausó todas las funciones de su protocolo para prevenir acciones maliciosas adicionales. En su comunicado, la empresa afirmó que “está trabajando activamente en la recuperación”. D2 Finance calcula que el atacante logró extraer aproximadamente $25 millones de ganancias.
El Contraste con la Tendencia de Hackeos
Este incidente ocurre en un contexto donde los exploits a protocolos habían mostrado una drástica disminución. Mientras en enero las pérdidas ascendieron a $385 millones, en febrero la cifra preliminar era de $49 millones, según datos del sector. La tendencia reciente indicaba que los atacantes preferían estafas de phishing por encima de explotaciones técnicas complejas. El caso de USR demuestra que las vulnerabilidades críticas en contratos inteligentes siguen siendo una amenaza grave y lucrativa.
Repercusiones y Estado Actual
La stablecoin USR permanece despegada del dólar, cotizando con un descuento del 13%. El evento ha dañado severamente la credibilidad del proyecto Resolv Labs y la confianza en su mecanismo de estabilidad. Aunque la recuperación parcial del precio muestra cierta capacidad del mercado para absorber el shock, la estabilidad a largo plazo del token es incierta.
Este incidente recalca la importancia crítica de realizar auditorías de seguridad exhaustivas y repetidas, un requisito aún más vital para los proyectos que emiten stablecoins. Además, evidencia la velocidad con la que una sola explotación puede desestabilizar un activo y drenar la liquidez de los mercados, sirviendo como un recordatorio para los usuarios sobre los riesgos inherentes en protocolos DeFi menos establecidos.
