Resolv USR Stablecoin alvo de grave exploração
Na madrugada de domingo, uma exploração de vulnerabilidade no protocolo Resolv abalou o mercado DeFi. Diversas empresas de segurança blockchain confirmaram que o atacante tirou partido de uma falha no contrato de emissão da stablecoin USR, criando cerca de 80 milhões de tokens USR sem garantia e retirando aproximadamente 25 milhões de dólares em ativos do mercado.
O ataque ocorreu por volta das 02:21 UTC, tendo sido detetado inicialmente pela conta de monitorização on-chain YieldsAndMore, que identificou transações anómalas.
Detalhes do ataque: pequenos depósitos resultam em emissão massiva de tokens
Os dados das transações on-chain mostram que o atacante depositou inicialmente 100 000 USDC no contrato USR Counter da Resolv. Teoricamente, este valor deveria apenas devolver o montante equivalente em USR.
No entanto, o resultado foi uma grave anomalia:
- A primeira transação originou cerca de 50 milhões de USR
- A segunda transação originou mais 30 milhões de USR
O total emitido foi aproximadamente 500 vezes o valor esperado.
Preço do USR colapsa rapidamente
O USR é uma stablecoin indexada ao dólar dos EUA, mas utiliza uma combinação de ETH e BTC com uma estratégia de cobertura delta-neutra, em vez de reservas fiduciárias. Quando um grande volume de tokens não garantidos foi emitido, o preço de mercado rapidamente saiu de controlo.
As reações do mercado incluíram:
- Na pool de liquidez da Curve Finance
- O preço caiu para 0,025$ em apenas 17 minutos
(Fonte: DEXSCREENER)
Apesar de o preço ter recuperado brevemente para cerca de 0,85$, não conseguiu restabelecer a paridade de 1$.
Movimentos de fundos do atacante
O endereço do atacante, com início em 0x04A2, realizou uma série de operações de arbitragem:
- Trocou os USR emitidos por USDC e USDT
- Vendeu estes ativos em várias plataformas descentralizadas
- Converteu os lucros em ETH
Os dados on-chain mostram:
- A carteira principal detém 11 409 ETH
- Avaliada em cerca de 23,7 milhões de dólares
Outro endereço ainda detém cerca de 1,1 milhão de dólares em wstUSR.
Resposta da Resolv: ativos colaterais permanecem intactos
Após o incidente, a Resolv Labs anunciou nas redes sociais:
- Todas as funções do protocolo foram suspensas
- O pool de ativos colaterais permanece intacto
- O problema está circunscrito ao processo de emissão do USR
(Fonte: ResolvLabs)
Os analistas referem que, apesar de os ativos colaterais não terem sido diretamente roubados, as perdas de mercado permanecem severas.
Mecanismos de permissão e verificação insuficientes
O analista on-chain Andrew Hong identificou o problema central na conta de permissão SERVICE_ROLE, que processa pedidos de swap, mas é controlada por uma carteira EOA padrão em vez de uma multisig.
O contrato de emissão carecia de vários mecanismos críticos de salvaguarda:
- Ausência de verificação de preços por oráculo
- Sem limite para o montante emitido
- Sem verificação dos pedidos de emissão ou dos valores executados
A empresa de investimento DeFi D2 Finance apontou três possíveis causas:
- Manipulação do oráculo de preços
- Comprometimento da conta de assinatura offline
- Ausência de mecanismo de verificação do montante de emissão
(Fonte: D2_Finance)
Impacto no ecossistema DeFi
O colapso do USR afetou não só os detentores de tokens, mas também o mercado de empréstimos DeFi. O USR e a sua versão staked, wstUSR, eram utilizados como colateral em plataformas como Morpho e Gauntlet.
Alguns traders aproveitaram a descida do preço do USR abaixo de 1$:
- Adquiriram USR a preço reduzido
- Utilizaram-no como colateral com a avaliação fixa de 1$ do sistema
- Pediram empréstimos em USDC
Esta estratégia pode rapidamente esgotar a liquidez dos pools de empréstimo.
Pool de seguro e camada de liquidez sob risco
O mecanismo de proteção de liquidez da Resolv, o Resolv Liquidity Pool (RLP), foi concebido para absorver perdas e proteger o USR. Antes do ataque, o valor circulante do RLP era de cerca de 38,6 milhões de dólares, sendo o maior detentor o protocolo de rendimento Stream Finance. A Stream Finance já registou uma perda de 93 milhões de dólares por apropriação indevida de ativos em 2025 e enfrenta agora novos riscos.
Pressão regulatória intensifica-se
Este incidente coincide com o debate no Congresso dos EUA sobre a regulação das stablecoins, incluindo o GENIUS Act, que visa regular stablecoins com rendimento. A American Bankers Association alertou que estes produtos podem desviar depósitos dos bancos tradicionais.
Conclusão
O incidente da Resolv USR demonstra que os riscos das stablecoins não advêm apenas dos ativos colaterais, mas também de falhas no design dos contratos e na gestão de permissões. Mesmo com os ativos subjacentes intactos, a expansão descontrolada da oferta e a perda de confiança do mercado podem causar perdas significativas. À medida que o mercado DeFi cresce, construir mecanismos robustos de monitorização, gestão de permissões e controlo de riscos será fundamental para a evolução das stablecoins e das finanças on-chain.
