No mercado de criptomoedas, as stablecoins são vistas como "pontes" entre o sistema financeiro tradicional e o mundo Web3, sendo sua estabilidade e segurança essenciais. No entanto, um recente ataque à stablecoin USR da Resolv voltou a alertar sobre a segurança no DeFi. Em 22 de março de 2025, os atacantes exploraram uma vulnerabilidade no contrato de cunhagem da Resolv para cunhar cerca de 80 milhões de tokens não garantidos e roubar aproximadamente US$ 25 milhões em ETH. O ataque fez com que a USR despencasse para US$ 0,025 na Curve, antes de recuperar-se para cerca de US$ 0,85, mas sua paridade com o dólar ainda não foi restaurada. Este ataque não apenas desvinculou a stablecoin USR de seu lastro em ouro, mas também expôs a vulnerabilidade potencial de protocolos DeFi complexos e os grandes riscos associados a stablecoins de alto rendimento em um ambiente de ausência regulatória.
I. A stablecoin USR do Resolv desancorou: o atacante cunhou 80 milhões de tokens não garantidos e roubou US$ 25 milhões em ETH
Segundo várias empresas de segurança blockchain, no domingo, um atacante explorou uma vulnerabilidade no contrato de cunhagem da stablecoin USR da Resolv, criando cerca de 80 milhões de tokens não garantidos e roubando aproximadamente US$ 25 milhões.
Técnica de ataque: O ataque começou por volta das 02:21 UTC. A conta X YieldsAndMore foi a primeira a detectar o evento e publicou dados de transações do Etherscan, mostrando que o atacante depositou 100.000 USDC no contrato USR Counter da Resolv e recebeu 50 milhões de USR em troca, cerca de 500 vezes a quantidade esperada. Em seguida, o atacante cunhou adicionalmente 30 milhões de USR por meio de uma segunda transação.
USR desancorado e em queda acentuada: USR é uma stablecoin atrelada ao dólar, que utiliza uma estratégia de hedge neutra em delta e é lastreada por ETH e BTC, e não por reservas fiduciárias. Segundo dados do DEX Screener, o token caiu para US$ 0,025 em seu pool mais líquido na Curve Finance, apenas 17 minutos após sua primeira cunhagem. Posteriormente, o preço subiu para cerca de US$ 0,85, mas até domingo de manhã, seu vínculo com o dólar ainda não havia sido restaurado.
Ativos roubados: O atacante utilizou um endereço que começa com 0x04A2 para trocar os USR cunhados por USDC e USDT em uma exchange descentralizada, e depois converteu os recursos obtidos em ETH. De acordo com os dados da blockchain, até a publicação deste relatório, o endereço da carteira do atacante possui 11.409 ETH, com valor aproximado de US$ 23,7 milhões. Outra carteira confirmada como pertencente ao atacante detém tokens wstUSR com valor aproximado de US$ 1,1 milhão.
Resolv Labs respondeu: Em sua declaração sobre o X, a Resolv Labs afirmou que suspendeu todas as funcionalidades do protocolo, e que seu pool de garantia está "totalmente intacto" e "não houve perda de ativos subjacentes". A equipe afirmou que o problema é "limitado ao mecanismo de emissão do USR".
II. Análise da causa da vulnerabilidade: Papel de cunhagem privilegiado e controle de acesso fraco
Analistas descobriram que a falha decorre de uma função de cunhagem privilegiada controlada por contas externas, que não possui limites de cunhagem nem verificações de oráculo.
Controle de acesso fraco: O analista on-chain Andrew Hong atribuiu a falha de segurança ao papel SERVICE_ROLE do protocolo, uma conta privilegiada usada para processar solicitações de troca. Esse papel é controlado por uma conta externa padrão (EOA), e não por uma conta de assinatura múltipla. Além disso, o contrato de cunhagem carece de verificação de oráculo, validação de quantidade e limites máximos de cunhagem.
Auditoria e monitoramento insuficientes: O fundo DeFi D2 Finance listou três explicações possíveis: oráculo manipulado, signatários off-chain comprometidos ou ausência de verificação de valor entre a solicitação e a conclusão da cunhagem. YieldsAndMore também concorda com essa análise e aponta que os mecanismos de governança do protocolo Resolv não possuem níveis de segurança adequados ao seu tamanho. “Apenas confiar em auditorias não é suficiente; se você não monitorar em tempo real a cunhagem e a oferta, no momento mais crítico você estará como um cego”, disse Deddy Lavid, CEO da Cyvers, ao The Block.
III. Titulares de USR enfrentam perdas massivas: inflação da oferta e esgotamento da liquidez
Embora a afirmação da Resolv de que seu pool de garantia está "totalmente intacto" seja tecnicamente correta, essa afirmação subestima as perdas.
Inflação da oferta: Como apontado por analistas on-chain, o ataque assumiu a forma de inflação da oferta, e não a retirada direta de ativos colaterais. Os 80 milhões de tokens adicionais diluíram a oferta existente, e a venda realizada pelos atacantes destruiu completamente a liquidez do pool de colateral. Qualquer pessoa que detivesse USR na época sofreu perdas imediatas.
Impacto no mercado de empréstimos DeFi: O efeito de desancoragem também atingiu o mercado de empréstimos DeFi. O USR e seus derivativos质押 wstUSR foram aceitos como garantia por plataformas como Morpho e Gauntlet. Alguns traders especulativos podem ter comprado USR com desconto e emprestado USDC com avaliação fixa de US$1, esgotando a liquidez de stablecoins nesses cofres. A D2 Finance apontou que os cofres gerenciados pela Gauntlet na plataforma Morpho também foram afetados.
Partes subordinadas e efeito dominó: As perdas também podem afetar as partes subordinadas da Resolv. O pool de liquidez da Resolv (RLP), que atua como um mecanismo de seguro para absorver perdas e proteger os detentores de USR, tinha aproximadamente US$ 38,6 milhões em liquidez circulante antes da exploração da vulnerabilidade. Segundo o YieldsAndMore, o Stream detém 13,6 milhões de posições RLP no Morpho, com exposição líquida de cerca de US$ 17 milhões, o que significa que seus depositantes podem enfrentar outra perda significativa.
Valor de mercado reduzido significativamente: De acordo com dados do CoinMarketCap, o valor de mercado do USR caiu de cerca de 400 milhões de dólares em fevereiro para cerca de 100 milhões de dólares antes do ataque. Devido a este ataque, o preço do token de governança RESOLV caiu cerca de 8,5% nas últimas 24 horas.
Quatro: O contexto do Resolv e a prevalência de ataques hackers em DeFi
Resolv arrecadou US$ 10 milhões em rodada semente concluída em abril de 2025, liderada por Cyber.Fund e Maven11, com participação de Coinbase Ventures, Arrington Capital e Animoca Ventures, e incubada pela Delphi Labs.
Auditoria e Programa de Recompensa por Vulnerabilidades: O site da Resolv afirma ter concluído 14 auditorias para cinco empresas, estabelecido um programa de recompensa por vulnerabilidades de US$ 500.000 no Immunefi e oferece serviço contínuo de monitoramento de contratos inteligentes.
Tendência de ataques hackers em DeFi: Este incidente de exploração aumentou ainda mais o número de ataques hackers em DeFi em 2026. O evento da Resolv é o mais recente em uma série de ataques criptográficos no início de 2026. Em janeiro deste ano, a Truebit perdeu US$ 26,6 milhões devido a um atacante explorando uma vulnerabilidade em um contrato inteligente implantado há cinco anos. No mesmo mês, o pool de stablecoin da Makina Finance sofreu perdas de aproximadamente US$ 5 milhões devido a um atacante manipulando oráculos do protocolo por meio de empréstimos relâmpago. Um relatório divulgado pela Immunefi na semana passada mostrou que a perda média atual em ataques criptográficos é de cerca de US$ 25 milhões, e os cinco maiores ataques entre 2024 e 2025 representam 62% de todos os fundos roubados.
V. Oportunidade da política e da regulamentação: riscos dos stablecoins de rendimento
Do ponto de vista político, o momento também é bastante interessante, pois os legisladores dos Estados Unidos estão discutindo ativamente como regular stablecoins de rendimento de acordo com o法案 GENIUS.
Risco de fuga de depósitos bancários: A Associação Americana de Bancários alertou que tais produtos podem deslocar depósitos dos bancos tradicionais.
Consenso regulatório: Vários senadores-chave chegaram a um "acordo de princípio" na semana passada sobre como tratar os rendimentos dos stablecoins.
Conclusão:
A stablecoin USR do Resolv desancorou-se do ouro após um atacante cunhar 80 milhões de tokens não garantidos e roubar aproximadamente US$ 25 milhões, reforçando o alerta sobre a segurança no DeFi. Este incidente não apenas expôs vulnerabilidades potenciais em stablecoins de alto rendimento relacionadas ao design complexo de contratos, controle de acesso e auditoria, mas também desafiou gravemente o mecanismo de confiança em todo o ecossistema DeFi.