Puntos clave de la noticia:
- Resolv sufrió un exploit que permitió mintear 80 millones de tokens USR sin respaldo, drenando unos $23 millones en Ethereum del protocolo.
- El atacante comprometió las claves privadas del sistema de gestión de llaves en AWS y evadió los controles de los oráculos y límites máximos de minting.
- El token USR perdió más del 80% de su valor y al menos 15 vaults en Morpho con exposición al activo registraron pérdidas considerables.
El domingo 23 de marzo de 2026, Resolv sufrió uno de los exploits más resonantes del año en el ecosistema DeFi. Un atacante aprovechó una falla en el sistema de minteo de la stablecoin nativa del protocolo, USR, para generar 80 millones de tokens sin respaldo colateral real. La operación le permitió drenar aproximadamente $23 millones en Ethereum antes de que el equipo pudiera suspender las funciones de mint y redención.
El vector de ataque no residió en la lógica delta-neutral que sostiene el diseño de USR, sino en el compromiso de claves privadas del servicio de gestión de llaves alojado en Amazon Web Services. Según Chainalysis, el atacante utilizó entre $100.000 y $200.000 en colateral para generar los tokens, lo que implica una ratio de emisión fraudulenta de hasta 500 veces el monto legítimo. El contrato de minting carecía de verificación por oracle y de límites máximos de emisión, lo que facilitó la operación.
Resolv: Un Impacto en Cascada Que Nadie Pudo Contener
El token USR, diseñado para mantener paridad con el dólar, se desplomó hasta $0,02 minutos después del primer mint anómalo. Si bien recuperó terreno parcialmente, continuó cotizando muy por debajo de su peg durante horas. El token de gobernanza RESOLV cayó un 8,5% en 24 horas.
El daño se extendió rápidamente hacia protocolos interconectados. Morpho, que opera bajo un modelo de curators que administran vaults con parámetros propios, recibió uno de los golpes más duros. Al menos 15 vaults con más de $10.000 en liquidez registraron pérdidas directas por exposición a USR o activos relacionados. Los curators Gauntlet, Re7 Labs, kpk y 9summits operaban pools con esa exposición. En algunos casos, sistemas automatizados de provisión de liquidez siguieron activos durante horas tras el exploit, agravando el daño. Merlin Egalite, cofundador de Morpho, aclaró que los contratos del protocolo base no presentaban vulnerabilidades.
Lido confirmó que los fondos en Lido Earn no resultaron afectados. Stani Kulechov, fundador de Aave, señaló que el protocolo no tenía exposición directa a USR. Deddy Lavid, CEO de Cyvers, lanzó una frase contundente sobre el incidente: «Si no estás monitoreando el minting y la oferta en tiempo real, estás ciego cuando más importa».
El exploit de Resolv ilustra que catorce auditorías y un programa de bug bounty de $500.000 en Immunefi resultan insuficientes si la gestión operativa de claves privadas y los controles sobre roles privilegiados no están a la misma altura.
