En el mercado de criptomonedas, las stablecoins se consideran el "puente" que conecta las finanzas tradicionales con el mundo Web3, y su estabilidad y seguridad son cruciales. Sin embargo, recientemente un ataque contra la stablecoin USR de Resolv volvió a alertar sobre la seguridad en DeFi. El 22 de marzo de 2025, los atacantes explotaron una vulnerabilidad en el contrato de acuñación de Resolv para crear aproximadamente 80 millones de tokens no respaldados y robar alrededor de 25 millones de dólares en ETH. Este ataque provocó que la USR se desplomara hasta 0,025 dólares en Curve, tras lo cual el precio se recuperó hasta aproximadamente 0,85 dólares, pero su vinculación con el dólar aún no se ha restablecido. Este ataque no solo desvinculó la stablecoin USR de su anclaje en oro, sino que también expuso la vulnerabilidad potencial de los protocolos DeFi complejos y los riesgos significativos que pueden conllevar las stablecoins de alto rendimiento en un entorno de vacío regulatorio.
I. El stablecoin USR de Resolv se desvincula: el atacante acuña 80 millones de tokens no respaldados y roba 25 millones de dólares en ETH
Según varias empresas de seguridad blockchain, el domingo, un atacante aprovechó una vulnerabilidad en el contrato de acuñación del stablecoin USR de Resolv para crear aproximadamente 80 millones de tokens no respaldados y robar alrededor de 25 millones de dólares.
Técnica de ataque: El ataque comenzó alrededor de las 02:21 UTC. La cuenta de X, YieldsAndMore, fue la primera en detectar el evento y publicó datos de transacciones de Etherscan que mostraban que el atacante depositó 100.000 USDC en el contrato USR Counter de Resolv y recibió 50 millones de USR a cambio, aproximadamente 500 veces la cantidad esperada. Posteriormente, el atacante acuñó adicionalmente 30 millones de USR mediante una segunda transacción.
USR se desvincula y cae en picada: USR es una stablecoin vinculada al dólar que utiliza una estrategia de cobertura delta neutra y está respaldada por ETH y BTC, no por reservas fiduciarias. Según los datos de DEX Screener, el token cayó a $0.025 en su pool de liquidez más activo en Curve Finance, solo 17 minutos después de su primera acuñación. Posteriormente, el precio se recuperó hasta aproximadamente $0.85, pero hasta el domingo por la mañana, aún no se ha restablecido su vinculación con el dólar.
Activos robados: El atacante utilizó una dirección que comienza con 0x04A2 para intercambiar los USR acuñados por USDC y USDT en un intercambio descentralizado, y luego convirtió los fondos obtenidos en ETH. Según los datos de la cadena de bloques, al momento de la redacción, la dirección de billetera del atacante posee 11.409 ETH, con un valor aproximado de 23,7 millones de dólares. Otra dirección de billetera confirmada como perteneciente al atacante posee tokens wstUSR con un valor aproximado de 1,1 millones de dólares.
Respuesta de Resolv Labs: Resolv Labs declaró en su comunicado sobre X que ha suspendido todas las funciones del protocolo, y que su pool de garantías está "completamente intacto" y "no ha habido pérdida de activos subyacentes". El equipo afirmó que el problema se "limita únicamente al mecanismo de emisión de USR".
II. Análisis de la causa de la vulnerabilidad: rol de acuñación con privilegios y control de acceso débil
Los analistas descubrieron que el defecto proviene de un rol de acuñación privilegiado controlado por cuentas externas, que no tiene límites de acuñación ni verificaciones de oráculo.
Control de acceso débil: El analista blockchain Andrew Hong atribuyó esta vulnerabilidad de seguridad al rol SERVICE_ROLE del protocolo, una cuenta privilegiada utilizada para completar solicitudes de intercambio. Este rol está controlado por una cuenta externa estándar (EOA), no por una cuenta de firma múltiple. Además, el contrato de acuñación carece de verificaciones de oráculo, validación de cantidades y límites máximos de acuñación.
Insuficiente auditoría y monitoreo: El fondo DeFi D2 Finance enumeró tres posibles explicaciones: manipulación del oráculo, compromiso de los firmantes fuera de la cadena, o falta de verificación de montos entre la solicitud de acuñación y su finalización. YieldsAndMore también coincide con este análisis y señala que el mecanismo de gestión del protocolo Resolv carece de medidas de seguridad adecuadas para su escala. “Solo confiar en auditorías no es suficiente; si no monitoreas en tiempo real la acuñación y la oferta, en el momento crítico estás ciego”, dijo Deddy Lavid, CEO de Cyvers, a The Block.
Tres: Los titulares de USR enfrentan pérdidas masivas: inflación de la oferta y agotamiento de la liquidez
Aunque la afirmación de Resolv de que su pool de garantías está "totalmente intacto" es técnicamente correcta, esta afirmación subestima las pérdidas.
Inflación de la oferta: Como señalaron los analistas on-chain, este ataque adoptó la forma de una inflación de la oferta, en lugar de un robo directo de los activos garantizados. Los 80 millones de tokens adicionales diluyeron la oferta existente, y la venta por parte del atacante destruyó por completo la liquidez del pool de garantías. Cualquiera que poseyera USR en ese momento sufrió pérdidas inmediatas.
Impacto en el mercado de préstamos DeFi: El efecto de desancoraje también afectó al mercado de préstamos DeFi. USR y sus derivados质押 wstUSR fueron aceptados como garantía por plataformas como Morpho y Gauntlet. Algunos operadores especulativos podrían haber comprado USR a descuento y haber tomado prestados USDC con una valoración fija de 1 dólar, agotando así la liquidez de stablecoins en estas cajas. D2 Finance señaló que las cajas gestionadas por Gauntlet en la plataforma Morpho también se vieron afectadas.
Las acciones subordinadas y el efecto dominó: Las pérdidas podrían afectar también las acciones subordinadas de Resolv. El fondo de liquidez de Resolv (RLP), que actúa como mecanismo de seguro para absorber pérdidas y proteger a los titulares de USR, tenía un volumen circulante de aproximadamente 38,6 millones de dólares antes del aprovechamiento de la vulnerabilidad. Según YieldsAndMore, Stream mantiene una posición de 13,6 millones de acciones RLP en Morpho, con una exposición neta de aproximadamente 17 millones de dólares, lo que implica que sus depositantes podrían enfrentar otra pérdida significativa.
El capitalización de mercado se redujo significativamente: según los datos de CoinMarketCap, la capitalización de mercado de USR ha caído de aproximadamente 400 millones de dólares a principios de febrero a aproximadamente 100 millones de dólares antes del ataque. Como consecuencia de este ataque, el precio del token de gobernanza RESOLV bajó aproximadamente un 8,5% en las últimas 24 horas.
Cuatro: Antecedentes de Resolv y la generalización de los ataques hackers en DeFi
Resolv completó una ronda de financiación semilla de 10 millones de dólares en abril de 2025, liderada por Cyber.Fund y Maven11, con participación de Coinbase Ventures, Arrington Capital y Animoca Ventures, y acelerada por Delphi Labs.
Auditoría y programa de recompensas por vulnerabilidades: El sitio web de Resolv afirma haber completado 14 auditorías para cinco empresas, ha establecido un programa de recompensas por vulnerabilidades de $500,000 en Immunefi y ofrece servicios continuos de monitoreo de contratos inteligentes.
Tendencia de ataques hackers en DeFi: Este incidente de explotación aumenta aún más el número de ataques hackers en DeFi en 2026. El evento de Resolv es el más reciente en una serie de ataques criptográficos ocurridos a principios de 2026. En enero de este año, Truebit perdió 26,6 millones de dólares debido a que los atacantes explotaron una vulnerabilidad en un contrato inteligente implementado hace cinco años. El mismo mes, el pool de stablecoins de Makina Finance sufrió pérdidas de aproximadamente 5 millones de dólares tras la manipulación del oráculo del protocolo mediante préstamos relámpago. Un informe publicado la semana pasada por Immunefi indica que la pérdida promedio por ataques hackers en criptomonedas actualmente es de aproximadamente 25 millones de dólares, y los cinco ataques con mayores pérdidas entre 2024 y 2025 representan el 62% de todos los fondos robados.
V. Oportunidad de la política y la regulación: Riesgos de las stablecoins de rendimiento
Desde el punto de vista de la política, el momento también es bastante significativo, ya que los legisladores estadounidenses están discutiendo activamente cómo regular las stablecoins de rendimiento según la ley GENIUS.
Riesgo de fuga de depósitos bancarios: La Asociación de Banqueros de EE. UU. advierte que estos productos podrían desviar depósitos de los bancos tradicionales.
Consenso regulatorio: Varios senadores clave alcanzaron un "acuerdo de principio" el viernes pasado sobre cómo tratar los rendimientos de las stablecoins.
Conclusión:
La stablecoin USR de Resolv se desvinculó de su anclaje al oro tras que un atacante acuñara 80 millones de tokens no respaldados y robara aproximadamente 25 millones de dólares, volviendo a alertar sobre la seguridad en DeFi. Este incidente no solo revela vulnerabilidades potenciales en stablecoins de alto rendimiento relacionadas con diseños de contratos complejos, control de acceso y auditorías, sino que también plantea un desafío grave para los mecanismos de confianza en todo el ecosistema DeFi.