Os atacantes, na coordenação global (UTC) às 2h21 de domingo, exploraram uma vulnerabilidade de controle de acesso no contrato de emissão do USR, uma stablecoin da Resolv, criando cerca de 80 milhões de tokens sem garantia com aproximadamente 200 mil dólares em USDC, e trocaram cerca de 25 milhões de dólares através de exchanges. O USR caiu imediatamente para 0,025 dólares no principal pool de liquidez do Curve Finance.
Mecanismo do ataque: como o contrato de emissão foi explorado
(Fonte: Etherscan)
A conta X, YieldsAndMore, foi a primeira a registrar a transação anômala: o atacante depositou 100 mil USDC no contrato de contra-mercado USR da Resolv, recebendo cerca de 50 milhões de USR, aproximadamente 500 vezes a quantidade normal; depois, com uma segunda transação, criou mais 300 milhões, totalizando cerca de 80 milhões de tokens.
Analistas on-chain, como Andrew Hong, apontam que a origem da vulnerabilidade está no papel de privilégio SERVICE_ROLE do protocolo. Este papel é usado para completar solicitações de troca, mas é controlado por contas externas comuns (EOA), e não por uma estrutura de múltiplas assinaturas mais segura. Além disso, o contrato de emissão carece de validação de preço por oráculos, limites de quantidade e mecanismos de limite de emissão.
O fundo DeFi D2 Finance propõe três possíveis vetores de ataque: manipulação do oráculo, invasão de assinantes off-chain ou ausência de validação de quantidade entre solicitação e execução de emissão.
Impacto de mercado: efeito de desancoragem se espalha pelo ecossistema DeFi de empréstimos
(Fonte: Trading View)
Após a emissão, em 17 minutos, o USR no pool de liquidez do Curve Finance despencou para 0,025 dólares, recuperando-se posteriormente para cerca de 0,85 dólares, mas sem restabelecer totalmente o ancoramento. O endereço principal do atacante (começando com 0x04A2) acabou com 11.409 ETH (aproximadamente 23,7 milhões de dólares), enquanto outro endereço relacionado detinha cerca de 1,1 milhão de dólares em tokens wstUSR.
Efeitos em cadeia da desancoragem do USR
Dano à liquidez de plataformas de empréstimo: USR e wstUSR são usados como garantia na Morpho e Gauntlet. Após a desancoragem, alguns especuladores compraram USR com desconto e emprestaram USDC ao valor de face, acelerando o esgotamento da liquidez dos cofres.
Pressão na camada de seguro RLP: Como mecanismo de absorção de perdas, o pool de liquidez Resolv (RLP) tinha cerca de 38,6 milhões de dólares em circulação antes do ataque; o maior detentor, Stream Finance, possuía 13,6 milhões de RLP na Morpho, com exposição líquida de aproximadamente 17 milhões de dólares.
Queda do token de governança RESOLV: Como consequência, o RESOLV caiu cerca de 8,5% em 24 horas.
Apesar de a Resolv Labs afirmar que o cofre de garantia está “completamente intacto”, analistas on-chain destacam que o ataque foi uma expansão de oferta, não um roubo direto de garantias. Os 80 milhões de tokens diluíram a circulação existente, e a venda em massa destruiu a liquidez, causando perdas reais aos usuários que possuíam USR durante o evento.
Limitações de auditoria de segurança e interseções com políticas regulatórias
Deddy Lavid, CEO da Cyvers, afirma: “Só auditorias não são suficientes; sem monitoramento em tempo real da emissão e da oferta, ficamos cegos nos momentos críticos.” O site da Resolv afirma ter concluído 14 auditorias de cinco empresas e estabelecido um prêmio de 500 mil dólares em bugs via Immunefi.
Este evento ocorre em um momento sensível. Nos EUA, órgãos legislativos avançam na regulamentação de stablecoins de rendimento sob o projeto de lei GENIUS, com vários senadores chegando a um acordo de princípios sobre a gestão de rendimentos de stablecoins antes do ataque. Além disso, o relatório mais recente da Immunefi indica que, em 2026, o valor médio de perdas em ataques a criptomoedas será de cerca de 25 milhões de dólares, valor compatível com o ocorrido.
Perguntas frequentes
O que é o USR e por que ocorreu a desancoragem?
USR é uma stablecoin atrelada ao dólar emitida pela Resolv Labs, usando uma estratégia delta neutra de hedge, com ETH e BTC como lastro. A desancoragem não foi por falta de garantia, mas por um ataque que criou uma grande quantidade de tokens sem garantia e os vendeu em massa, causando o colapso instantâneo do principal pool de liquidez.
Qual foi a vulnerabilidade técnica central do ataque?
A vulnerabilidade reside na conta com privilégio SERVICE_ROLE, controlada por uma EOA comum, e na ausência de validação de preço por oráculos, limites de quantidade e limites de emissão no contrato de criação de tokens. Assim, um atacante pôde criar cerca de 500 vezes a quantidade normal de USR com apenas 200 mil dólares em USDC.
Quais riscos de perdas reais os detentores de USR enfrentam?
A venda em massa de USR sem garantia destrói a liquidez, causando perdas de valor de mercado para os detentores durante o ataque. Além disso, o uso de wstUSR como garantia em plataformas DeFi amplia o impacto na estrutura de liquidez dos cofres relacionados, agravando o efeito de desancoragem.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
