Une vulnérabilité majeure dans le système de minting du stablecoin USR de Resolv a déclenché le hack de Resolv, provoquant une perturbation sévère du marché à travers plusieurs plateformes DeFi interconnectées.
Summary
Comment l’exploitation du stablecoin USR s’est déroulée
Dimanche, un attaquant sophistiqué a ciblé l’infrastructure d’émission de l’USR de Resolv et a généré environ 80 millions de tokens non adossés, drainant finalement environ 25 millions de dollars en Ether (ETH) du protocole. L’exploitation a souligné comment une seule faiblesse dans la logique de minting d’un stablecoin peut entraîner une crise de marché plus large.
L’activité malveillante a commencé vers 2h21 UTC, lorsque le malfaiteur a déposé 100,000 USDC dans le contrat USR Counter de Resolv. En retour, l’attaquant a reçu un 50 millions USR anormal — environ 500 fois le montant légitime. Une transaction ultérieure a produit 30 millions de tokens supplémentaires. Ensemble, ces actions ont gonflé l’offre d’USR sans aucun collatéral correspondant.
Après le minting non autorisé, l’attaquant a systématiquement échangé l’USR frauduleux contre des USDC et USDT sur plusieurs échanges décentralisés. De plus, l’exploiteur a ensuite consolidé les produits en ETH. Selon les données on-chain, le portefeuille de l’attaquant détient actuellement 11,409 ETH, évalués à environ 23,7 millions de dollars aux prix du marché en vigueur.
Dépeg brutal sur Curve et lourdes pertes pour les détenteurs d’USR
L’USR, conçu pour maintenir un ancrage de prix à 1 dollar, a connu un effondrement presque immédiat. Seulement 17 minutes après le premier mint anormal, le token s’est effondré à 0,025 dollar sur Curve Finance. Cependant, le prix a rapidement amorcé une reprise partielle, rebondissant autour de 0,85 dollar, mais il est resté profondément dépeggé tout au long de la matinée de dimanche.
Resolv Labs a annoncé sur X qu’il avait suspendu toutes les opérations du protocole. L’équipe a souligné que le pool de collatéral « reste entièrement intact » et a insisté sur le fait que « aucun actif sous-jacent » n’a été compromis, encadrant le problème comme « isolé aux mécanismes d’émission de l’USR ». Cela dit, la réaction du marché a indiqué que les utilisateurs étaient loin d’être rassurés.
Les analystes blockchain ont rapidement souligné que les détenteurs existants d’USR ont subi le plus gros des dommages. L’afflux soudain de 80 millions de nouveaux tokens a massivement dilué l’offre en circulation. De plus, la vente agressive de l’attaquant a drainé la liquidité des pools disponibles. Tout investisseur qui détenait de l’USR pendant l’incident a subi des pertes de portefeuille immédiates et significatives.
Compromission de compte privilégié du protocole et sauvegardes de minting
Les chercheurs en sécurité ont rapidement retracé l’exploitation jusqu’à des contrôles d’accès critiques. L’analyste en sécurité blockchain Andrew Hong a identifié l’origine de la brèche dans un compte privilégié désigné comme le SERVICE_ROLE. Ce rôle hautement sensible était prétendument géré par un seul compte détenu à l’extérieur, plutôt que par une structure de portefeuille multisignature plus sécurisée.
Le contrat de minting de l’USR manquait apparemment de protections clés telles qu’une vérification robuste des oracles, une validation correcte des montants et des seuils maximums de minting. Cependant, cette faiblesse de conception a pu interagir avec une défaillance opérationnelle plus profonde : l’exposition des informations d’identification privilégiées. L’incident a mis en évidence comment les rôles de gouvernance peuvent devenir des points de défaillance uniques s’ils ne sont pas correctement renforcés.
La société de sécurité Pashov, qui avait précédemment audité le module de staking de Resolv en juillet 2025, a déclaré à Cointelegraph que la cause principale semble être une compromission de clé privée plutôt qu’une faille dans la conception architecturale de base. Cela dit, la société a souligné que même les protocoles bien audités restent vulnérables si les pratiques de gestion des clés et de sécurité opérationnelle ne sont pas rigoureuses.
Deddy Lavid, PDG de Cyvers, a averti que les audits seuls ne peuvent pas garantir une sécurité complète. « Les audits seuls ne suffisent pas. Si vous ne surveillez pas le minting et l’offre en temps réel, vous êtes aveugle quand cela compte le plus, » a-t-il déclaré, soulignant la nécessité d’une surveillance continue et automatisée des actions privilégiées.
Audits étendus, primes aux bugs et lacunes de surveillance en temps réel
La documentation officielle de Resolv répertorie 14 engagements d’audit réalisés par cinq sociétés de sécurité distinctes. Le projet annonce également un programme de prime aux bugs de 500,000 dollars sur Immunefi, ainsi que des systèmes de surveillance continue des contrats intelligents. Cependant, l’attaque réussie montre que même des investissements de sécurité étendus peuvent être compromis par une seule défaillance opérationnelle.
Les observateurs de l’industrie ont noté que l’ampleur de la perte s’aligne avec des tendances plus larges. Un rapport récent d’Immunefi a révélé que le hack moyen de cryptomonnaie cause désormais environ 25 millions de dollars de dommages. De plus, les cinq plus grandes exploitations durant 2024–2025 ont représenté 62% de la valeur totale volée dans le secteur, soulignant une concentration persistante du risque.
Dans ce contexte, le hack de Resolv sert d’étude de cas sur les limites des audits avant déploiement et des primes aux bugs. Une surveillance continue on-chain, une gestion des clés renforcée et des contrôles stricts sur les rôles privilégiés semblent de plus en plus nécessaires pour prévenir des incidents similaires.
Effets de contagion DeFi et réponses au niveau des plateformes
L’exploitation s’est rapidement propagée à travers l’écosystème DeFi plus large. De nombreuses plateformes ont pris des mesures pour évaluer et réduire leur exposition à l’USR et aux actifs connexes. De plus, elles ont publié des mises à jour publiques pour limiter la panique des utilisateurs et prévenir un stress systémique supplémentaire.
Lido a confirmé que les fonds des utilisateurs déposés dans Lido Earn restaient sécurisés et n’étaient pas directement affectés par l’incident. Stani Kulechov, fondateur d’Aave, a déclaré que le protocole de prêt n’avait pas d’exposition directe à l’USR. Il a également mentionné que Resolv remboursait activement la dette en cours, suggérant un effort coordonné pour contenir les effets en cascade.
Sur l’optimiseur de prêt Morpho, le co-fondateur Merlin Egalite a précisé que seuls certains coffres avaient une exposition à l’USR plutôt que l’ensemble de la plateforme. Cependant, ces risques ciblés posaient encore des défis pour des pools spécifiques et leurs fournisseurs de liquidité, incitant à des examens rapides de gouvernance et de paramètres de risque.
Transactions à effet de levier et stress sur les marchés de prêt
Tant l’USR que son dérivé staké wstUSR avaient été approuvés comme collatéral sur plusieurs protocoles, y compris Morpho et Gauntlet. Les analystes de marché ont rapporté que des traders opportunistes semblaient acheter de l’USR à des prix en détresse et l’utiliser ensuite comme collatéral, empruntant des USDC à une valorisation proche du plein 1 dollar.
Cette stratégie a créé un dangereux décalage entre le prix du marché et la valorisation du collatéral. En conséquence, les coffres affectés ont vu leurs réserves de stablecoins vidées, tandis que la valeur réelle du collatéral soutenant ces prêts s’était déjà effondrée. Cela dit, les moteurs de risque et les oracles sur certaines plateformes peuvent encore s’ajuster au fil du temps pour atténuer les dommages à long terme.
Le token de tranche d’assurance junior de Resolv, RLP, a également fait face à une potentielle dépréciation du capital. Stream Finance, qui détient environ 13,6 millions de RLP évalués à environ 17 millions de dollars, pourrait transmettre des pertes supplémentaires à sa base de déposants. De plus, Stream avait précédemment divulgué une perte de 93 millions de dollars en novembre 2025, ce qui augmente les préoccupations concernant le risque de cumul pour ses utilisateurs.
Dans l’immédiat, le token de gouvernance RESOLV a chuté d’environ 8,5% sur une période de 24 heures. La baisse reflétait à la fois des préoccupations directes concernant la solvabilité du protocole et des doutes plus larges sur l’architecture de sécurité et la résilience opérationnelle de la plateforme.
Implications plus larges du bug de minting de l’USR de Resolv
Le hack de Resolv, entraîné par la vulnérabilité du stablecoin USR, illustre comment une combinaison de compromission de compte privilégié du protocole et de surveillance en temps réel insuffisante peut saper des préparations de sécurité étendues. De plus, il souligne que les événements de dépeg sur les grandes plateformes de liquidité peuvent rapidement infliger des dommages collatéraux à travers les couches de prêt, de staking et d’assurance.
À l’avenir, les émetteurs de stablecoins et les protocoles DeFi sont susceptibles de faire face à un examen renouvelé de la gestion des clés, de la vérification des collatéraux et de la surveillance des risques on-chain. En résumé, l’incident de Resolv renforce une leçon difficile pour l’industrie : sans contrôles hermétiques autour du minting et de l’accès privilégié, même les systèmes lourdement audités peuvent échouer de manière catastrophique.
