Puntos clave de la noticia:
- Resolv Labs emitió un ultimátum de 72 horas al atacante que robó $25M, ofreciéndole retener el 10% si devuelve el resto.
- El exploit ocurrió el 22 de marzo: el atacante minteo 80 millones de tokens USR sin respaldo y los convirtió en 11.409 ETH.
- La vulnerabilidad se originó en un rol de minteo privilegiado controlado por una sola cuenta sin límites ni autorizaciones múltiples.
Resolv Labs emitió un ultimátum público al atacante responsable del exploit que el domingo anterior drenó aproximadamente $25 millones del protocolo. A través de un mensaje onchain, la empresa con sede en Abu Dhabi ofreció al individuo conservar el 10% de los fondos sustraídos a cambio de devolver el 90% restante —unos $22,5 millones en ETH— junto con los tokens USR que aún permanezcan bajo su control.
El plazo establecido vence el jueves. Resolv también incluyó en la propuesta una vía alternativa: el atacante puede optar por un esquema de divulgación responsable, contactando al equipo por correo electrónico para demostrar que su intervención respondió a una investigación de seguridad de buena fe.
¿Qué Sucedió con Resolv?
El ataque se produjo en las primeras horas del domingo 22 de marzo. El agresor depositó cerca de $200.000 en USDC dentro del contrato USR Counter de Resolv y recibió a cambio 50 millones de USR. Una segunda transacción le permitió mintear 30 millones de tokens adicionales. El total obtenido fue intercambiado por stablecoins en distintos exchanges descentralizados y luego convertido en 11.409 ETH, según datos onchain.
Los analistas determinaron que la brecha se originó en un rol de minteo privilegiado controlado por una única cuenta de propiedad externa, sin límites máximos de emisión, sin verificaciones de oracle y sin requerimiento de autorización multifirma. Resolv reconoció en su comunicado que el exploit, aunque facilitado por una vulnerabilidad del protocolo, fue ejecutado con intención maliciosa clara y que los tokens sin respaldo generados representan un riesgo para la estabilidad del mercado secundario.
Respuestas del Protocolo y Soluciones para los Usuarios Afectados
En caso de incumplimiento dentro del plazo, el protocolo advirtió que escalará las medidas: coordinación con exchanges centralizados, bridges y proveedores de infraestructura para restringir o congelar los activos, divulgación pública de las direcciones y trazas de transacciones involucradas, y colaboración con firmas de análisis blockchain y fuerzas del orden para iniciar acciones legales.
Resolv Digital Assets Ltd. informó además que habilitó los rescates para usuarios que poseían USR antes del incidente y que figuraban en la lista de permitidos. Las actualizaciones para el resto de los usuarios, indicó el protocolo, se comunicarán en las próximas horas.
