Sur le marché des cryptomonnaies, les stablecoins sont considérés comme un « pont » reliant la finance traditionnelle au monde Web3, et leur stabilité et sécurité sont essentielles. Toutefois, une récente attaque contre le stablecoin USR de Resolv a de nouveau alerté sur les risques de sécurité dans la DeFi. Le 22 mars 2025, les attaquants ont exploité une vulnérabilité dans le contrat de création d’USR de Resolv pour émettre environ 80 millions de jetons non garantis et voler environ 25 millions de dollars en ETH. Cet événement a provoqué un effondrement du prix d’USR sur Curve, tombant à 0,025 $, avant une reprise à environ 0,85 $, mais sans rétablissement de la parité avec le dollar. Cette attaque non seulement a rompu la liaison dorée d’USR, mais a également révélé les vulnérabilités potentielles des protocoles DeFi complexes et les risques considérables associés aux stablecoins offrant des rendements élevés dans un vide réglementaire.
I. Le stablecoin USR de Resolv se désancré : l'attaquant a créé 80 millions de jetons non garantis et a volé 25 millions de dollars en ETH
Selon plusieurs entreprises de sécurité blockchain, un attaquant a exploité une vulnérabilité dans le contrat de création de la stablecoin USR de Resolv dimanche, créant environ 80 millions de jetons non garantis et volant environ 25 millions de dollars américains.
Méthode d’attaque : L’attaque a commencé vers 02:21 UTC. Le compte X YieldsAndMore a été le premier à détecter l’événement et a publié des données de transaction Etherscan montrant que l’attaquant avait déposé 100 000 USDC dans le contrat USR Counter de Resolv, recevant en échange 50 millions d’USR, soit environ 500 fois la quantité attendue. Par la suite, l’attaquant a encore créé 30 millions d’USR via une deuxième transaction.
USR se désancré et s'effondre : USR est une stablecoin pegée au dollar, utilisant une stratégie de couverture delta-neutre et soutenue par des réserves d'ETH et de BTC, et non par des devises fiduciaires. Selon les données de DEX Screener, le token a chuté à 0,025 USD dans son pool le plus liquide sur Curve Finance, seulement 17 minutes après sa première création. Par la suite, le prix a rebondi à environ 0,85 USD, mais au moment du dimanche matin, le lien avec le dollar n'était toujours pas rétabli.
Actifs volés : L'attaquant a utilisé une adresse commençant par 0x04A2 pour échanger les USR créés contre des USDC et des USDT sur un échange décentralisé, puis a converti les produits obtenus en ETH. Selon les données de la blockchain, au moment de la rédaction, le portefeuille de l'attaquant contient 11 409 ETH, d'une valeur d'environ 23,7 millions de dollars. Un autre portefeuille identifié comme appartenant à l'attaquant détient des jetons wstUSR d'une valeur d'environ 1,1 million de dollars.
La réponse de Resolv Labs : Resolv Labs a déclaré sur X qu'elle avait suspendu toutes les fonctionnalités du protocole, ajoutant que son pool de garantie était « entièrement intact » et qu'aucun actif sous-jacent n'avait été perdu. L'équipe a affirmé que le problème était « limité au mécanisme d'émission d'USR ».
Deuxièmement, analyse de la cause de la vulnérabilité : rôle de création de monnaie privilégié et contrôle d'accès faible
Les analystes ont découvert que ce défaut provenait d'un rôle de frappe privilégié contrôlé par un compte externe, qui ne comportait aucune limite de frappe ni vérification d'oracle.
Faiblesse de contrôle d'accès : L'analyste chain-on-chain Andrew Hong attribue cette faille de sécurité au rôle SERVICE_ROLE du protocole, un compte privilégié utilisé pour traiter les demandes d'échange. Ce rôle est contrôlé par un compte externe standard (EOA), et non par un compte à signature multiple. En outre, le contrat de frappe ne comporte pas de vérification oracle, de vérification de quantité ni de limite maximale de frappe.
Insuffisance de l’audit et de la surveillance : Le fonds DeFi D2 Finance a identifié trois explications possibles : manipulation de l’oracle, compromission des signataires hors chaîne, ou absence de vérification du montant entre la demande de création et l’achèvement. YieldsAndMore partage cette analyse et souligne que le mécanisme de gouvernance du protocole Resolv manque de mesures de sécurité à la hauteur de sa taille. « Se fier uniquement à l’audit n’est pas suffisant ; si vous ne surveillez pas en temps réel la création et l’offre, vous êtes aveugle au moment crucial », a déclaré Deddy Lavid, PDG de Cyvers, à The Block.
Troisièmement, les détenteurs d'USR font face à d'énormes pertes : inflation de l'offre et pénurie de liquidité
Bien que la déclaration de Resolv selon laquelle son pool de garantie est « entièrement intact » soit techniquement correcte, elle minimise les pertes.
Inflation de l'offre : Comme l'ont souligné les analystes chain-on, cette attaque a pris la forme d'une inflation de l'offre, et non d'un vol direct des actifs en garantie. Les 80 millions de jetons supplémentaires ont dilué l'offre existante, et la vente par les attaquants a complètement détruit la liquidité du pool de garantie. Toute personne détenant des USR à ce moment-là a subi une perte immédiate.
Impact sur le marché de prêt DeFi : L'effet de désancrage a également touché le marché de prêt DeFi. L'USR et ses dérivés en gage wstUSR sont acceptés comme garantie sur des plateformes telles que Morpho et Gauntlet. Certains traders spéculatifs ont probablement acheté l'USR à rabais et ont emprunté des USDC à une évaluation fixe de 1 dollar, épuisant ainsi la liquidité en stablecoins de ces caisses. D2 Finance a indiqué que les caisses gérées par Gauntlet sur la plateforme Morpho ont également été affectées.
Parts subordonnées et réaction en chaîne : Les pertes pourraient également affecter les parts subordonnées de Resolv. Le pool de liquidité Resolv (RLP), qui agit comme un mécanisme d'assurance pour absorber les pertes et protéger les détenteurs d'USR, dispose d'une liquidité circulante d'environ 38,6 millions de dollars au prix antérieur à l'exploitation de la faille. Selon YieldsAndMore, Stream détient une position de 13,6 millions de parts RLP sur Morpho, avec un risque net d'environ 17 millions de dollars, ce qui signifie que ses déposants pourraient faire face à une autre perte majeure.
La capitalisation boursière a fortement diminué : selon les données de CoinMarketCap, la capitalisation de USR est passée d'environ 400 millions de dollars début février à environ 100 millions de dollars avant l'attaque. Sous l'effet de cette attaque, le prix du jeton de gouvernance RESOLV a chuté d'environ 8,5 % au cours des dernières 24 heures.
Quatre : Contexte de Resolv et fréquence des attaques de hackers sur DeFi
Resolv a levé 10 millions de dollars en financement de graine en avril 2025, mené par Cyber.Fund et Maven11, avec la participation de Coinbase Ventures, Arrington Capital et Animoca Ventures, et incubé par Delphi Labs.
Audit et programme de récompenses pour vulnérabilités : Le site de Resolv affirme avoir effectué 14 audits pour cinq entreprises, mis en place un programme de récompenses Immunefi de 500 000 $, et propose un service de surveillance continue des contrats intelligents.
Tendances des attaques par piratage DeFi : cet exploit a encore augmenté le nombre d'attaques DeFi en 2026. L'incident Resolv est le plus récent d'une série d'attaques cryptographiques au début de l'année 2026. En janvier de cette année, Truebit a perdu 26,6 millions de dollars en raison d'une exploitation d'une vulnérabilité dans un contrat intelligent déployé il y a cinq ans. Le même mois, le pool de stablecoin de Makina Finance a subi une perte d'environ 5 millions de dollars après qu'un attaquant a manipulé les oracles du protocole à l'aide de flash loans. Un rapport publié la semaine dernière par Immunefi indique que la perte moyenne actuelle due aux attaques cryptographiques s'élève à environ 25 millions de dollars, et les cinq attaques les plus coûteuses entre 2024 et 2025 représentent 62 % de tous les fonds volés.
V. Opportunité des politiques et de la réglementation : les risques des stablecoins rémunérés
Du point de vue des politiques, le moment est également révélateur, car les législateurs américains débattent activement de la régulation des stablecoins rémunérés selon la loi GENIUS.
Risque de fuite de dépôts bancaires : L’American Bankers Association a averti que ces produits pourraient entraîner un transfert de dépôts hors des banques traditionnelles.
Consensus réglementaire : Plusieurs sénateurs clés ont atteint un « accord de principe » sur la manière de traiter les revenus des stablecoins vendredi dernier.
Conclusion :
La stablecoin USR de Resolv a perdu son ancrage à l'or après qu'un attaquant ait émis 80 millions de jetons non garantis et volé environ 25 millions de dollars, réveillant une nouvelle fois les alertes sur la sécurité DeFi. Cet incident met en lumière les vulnérabilités potentielles des stablecoins à rendement élevé en matière de conception de contrats complexes, de contrôle d'accès et d'audit, tout en posant un défi majeur à la confiance dans l'écosystème DeFi dans son ensemble.