Mercado bajista: el "guion clásico" se repite, análisis retrospectivo del "saqueo relámpago" de Resolv Labs y el evento de desacoplamiento de USR

Escrito por: Glendon, Techub News

El 22 de marzo, el protocolo DeFi Resolv Labs, especializado en el desarrollo de stablecoins descentralizadas de interés compuesto, sufrió un ataque de hackers. Los datos en la cadena muestran que la dirección del atacante, que comienza con “0 x04 A2”, solo depositó 100,000 USDC, pero aprovechando una vulnerabilidad en el protocolo, acuñó 50 millones de USR stablecoins. Posteriormente, el atacante repitió la operación, usando otros 100,000 USDC para acuñar 30 millones de USR. Durante este período, Resolv Labs confirmó en Twitter que su protocolo había sido atacado, y que el equipo había suspendido todas las funciones y estaba trabajando en la recuperación.

Sin embargo, ya era demasiado tarde. Los 80 millones de USR sin respaldo de activos se habían inyectado rápidamente en el mercado, provocando que la stablecoin USR se despegara de su valor de referencia. Además, debido a la falta de liquidez en el mercado, se produjeron deslizamientos severos durante las ejecuciones de las operaciones, lo que agravó aún más la caída de USR. Según CoinMarketCap, USR llegó a desengancharse a aproximadamente 0.06 dólares, con una caída superior al 94% (actualmente USR se ha recuperado a unos 0.32 dólares, pero aún se encuentra en un estado de “despegue severo”). Es importante destacar que la ruta de salida del atacante fue clara y rápida, completándose en unas pocas horas. Tras acuñar ilegalmente USR, convirtió los tokens en wstUSR y los vendió en grandes cantidades en exchanges descentralizados como Curve y Uniswap, intercambiándolos por USDC y USDT, y luego cambió estos stablecoins por aproximadamente 25 millones de dólares en Ethereum, logrando así lavar las ganancias del ataque en un “robo relámpago”.

En un entorno de mercado ya de por sí deprimido, el ataque a Resolv Labs ha golpeado nuevamente la confianza del sector, incluso siendo considerado por la comunidad cripto como un “guion clásico” de mercado bajista. La causa principal del ataque sigue siendo el viejo problema del “diseño del mecanismo de acuñación de tokens”.

Origen de la vulnerabilidad: la triple falla en el mecanismo de acuñación

Primero, es fundamental entender que el sistema de stablecoins de Resolv adopta una estructura de doble capa. USR es una stablecoin vinculada 1:1 al dólar estadounidense, que los usuarios pueden acuñar depositando ETH o BTC. Utiliza una estrategia Delta neutral, permitiendo que el protocolo abra posiciones cortas perpetuas equivalentes en ETH/BTC para contrarrestar riesgos de volatilidad, manteniendo así la estabilidad de USR. Los poseedores de USR también pueden obtener parte de las ganancias generadas por el protocolo y participar en la agregación de rendimientos en DeFi como Pendle y Sommelier.

Además, Resolv introdujo el Resolv Liquidity Provider Token (RLP) como un “fondo de seguro” para absorber posibles pérdidas en estrategias de cobertura, como liquidaciones, deslizamientos y fluctuaciones en las tasas de fondos. Durante el ataque, el RLP también sufrió pérdidas. Según CoinGecko, el precio del RLP cayó de 1.38 a 0.23 dólares, una caída superior al 83%. Actualmente, el RLP se ha recuperado a 0.98 dólares.

¿Cómo fue que Resolv Labs fue hackeado? Según análisis de las firmas de seguridad PeckShield y varios analistas en cadena, la causa raíz del ataque radica en graves defectos en el control de permisos y mecanismos de validación en su contrato de acuñación. En primer lugar, una vulnerabilidad fatal en el control de permisos: en el proceso normal, los usuarios deben depositar colaterales para acuñar USR, y la cantidad de tokens acuñados debe estar vinculada 1:1 al valor del colateral. Sin embargo, el atacante aprovechó el permiso SERVICE_ROLE para saltarse la validación del valor del colateral y establecer directamente una cantidad astronómica de tokens, logrando acuñar 80 millones de USR con solo 200,000 dólares en USDC, en una operación de “apalancamiento extremo”.

Este fallo de diseño radica en que el rol SERVICE_ROLE tiene el poder de decidir directamente la cantidad de tokens a acuñar, constituyendo un “permiso superusuario”. Dado que el protocolo no implementó mecanismos de multisig o una red de firmantes descentralizados, sino que dependía de una o pocas claves, si estas se filtraban o eran comprometidas, el sistema caía inmediatamente.

En segundo lugar, la ausencia de mecanismos de validación en cadena de los montos también representa un grave riesgo de seguridad. El contrato de acuñación confía completamente en las firmas off-chain para determinar la cantidad de tokens a acuñar, sin establecer límites en la cadena (como un máximo de 1 millón de USR por transacción) ni incorporar oráculos que verifiquen en tiempo real el valor del colateral y la cantidad acuñada. Esto significa que, si un atacante controla las firmas off-chain o obtiene los permisos necesarios, puede acuñar USR a voluntad sin verificar si hay suficiente colateral. La falta de mecanismos de validación en cadena facilitó el ataque.

Por último, la estrategia Delta neutral también presenta riesgos potenciales. La emisión de USR mediante esta estrategia hace que la lógica de acuñación dependa en gran medida de firmas off-chain y oráculos, lo que crea puntos vulnerables. Si las firmas o los oráculos fallan o son comprometidos, todo el mecanismo de acuñación puede colapsar.

Esta madrugada, Resolv Labs publicó un comunicado explicando las causas del ataque. La causa principal fue una intrusión no autorizada en su infraestructura, que permitió a los atacantes acceder ilegalmente mediante la filtración de claves privadas, lo que llevó a la acuñación no respaldada de aproximadamente 80 millones de dólares en USR.

Resolv también reveló que aproximadamente 9 millones de USR han sido destruidos con éxito. La oferta total actual incluye los 102 millones de USR existentes antes del ataque y unos 71 millones de tokens acuñados ilegalmente. Para mitigar las pérdidas y restaurar el orden, planean habilitar hoy la función de redención de USR previa al ataque, comenzando con usuarios en la lista blanca. Además, enfatizaron que los activos colaterales subyacentes de Resolv no se vieron afectados directamente, y están rastreando y tratando de controlar los USR y otros activos ilegales acuñados.

Este es un primer paso de Resolv Labs para remediar a los usuarios afectados, mostrando esfuerzos por reducir pérdidas y recuperar fondos. Sin embargo, el incidente ya ha tenido un impacto en el sector.

Repercusiones y enseñanzas

El impacto más directo del incidente es la severa despegue de USR y la caída del token nativo de Resolv, RESOLV, que llegó a caer más del 16% hasta 0.052 dólares. Además, varias plataformas DeFi se vieron afectadas. El pool de liquidez USR/USDC en Curve colapsó instantáneamente; en Morpho, los préstamos que soportan USR y wstUSR como colateral quedaron casi vacíos, con muchos usuarios enfrentando riesgos de liquidación por la despegue de USR.

No obstante, Paul Frambot, cofundador de Morpho, afirmó en Twitter que el impacto en Morpho no fue tan grave como se rumoreaba. La afectación principal fue en USR y activos relacionados (como RPL), y en los mercados de préstamos que los usan como colateral. De unos 500 vaults con más de 10,000 dólares en depósitos, aproximadamente 15 tenían una exposición significativa a estos activos afectados.

Por otro lado, otros protocolos integrados con Resolv, o socios del ecosistema, tomaron medidas de emergencia para proteger a sus usuarios. Por ejemplo, Gauntlet, un protocolo de gestión de riesgos, afirmó que no mantiene posiciones en USR o RLP, y que sus vaults no se vieron afectados. Están en contacto con Resolv para buscar soluciones y están preparando planes de compensación para los fondos restantes.

El protocolo Fluid informó que ha obtenido préstamos a corto plazo para cubrir las deudas incobrables, garantizando la seguridad de los fondos de los usuarios. Stani.eth, fundador de Aave, también declaró que su protocolo no tiene exposición a USR, ya que Resolv solo actúa como proveedor de liquidez. Otros protocolos que usan USR para generar rendimiento, como Pendle y Sommelier, no han sufrido pérdidas directas, aunque sus pools y rendimientos se vieron afectados indirectamente.

Esto revela una dura realidad en DeFi: la falla de un solo protocolo puede desencadenar una “reacción en cadena” en múltiples plataformas, especialmente cuando un activo se usa ampliamente como colateral. Aunque estos otros protocolos no hayan sido atacados directamente, enfrentan riesgos de reputación y daños operativos por eventos relacionados.

Durante el evento, los atacantes vendieron en lotes los 80 millones de USR acuñados ilegalmente en pools de USR/USDC en DEX como Curve y Uniswap, causando una fuerte volatilidad en los precios. La caída del valor de USR no solo afectó a los proveedores de liquidez por pérdidas impermanentes, sino que también provocó pérdidas sustanciales en capital, ya que la mayoría de los activos finales en sus carteras eran USR despegado. Esto evidencia las vulnerabilidades estructurales en pools de liquidez emergentes con bajo volumen o profundidad insuficiente, incapaces de absorber grandes ventas, lo que genera distorsiones de precios y riesgos sistémicos.

Desde una perspectiva más amplia, el incidente de Resolv Labs no es solo una falla de un proyecto aislado, sino un golpe más a la confianza en el mercado cripto, que podría desencadenar una nueva crisis de confianza en las stablecoins. La despegue y los problemas de seguridad de las stablecoins, que son fundamentales en DeFi, amenazan la estabilidad del ecosistema, generando dudas sobre la viabilidad a largo plazo de las “stablecoins algorítmicas” y “de interés compuesto”. Esto podría hacer que inversores más conservadores retiren fondos de protocolos de alto riesgo, buscando activos más seguros o estrategias de protección.

El evento también es una advertencia para toda la industria, especialmente en un mercado en tendencia bajista y con baja apetencia al riesgo. La dependencia excesiva en firmas off-chain para permisos y la falta de validación en cadena se consideran una “quiebra del modelo de confianza”. Se recomienda que los protocolos adopten mecanismos de multisig, integren oráculos descentralizados como Chainlink o Pyth para validaciones en tiempo real, y establezcan mecanismos automáticos de corte para mejorar la seguridad y la resistencia.

Por otro lado, la respuesta de emergencia de Resolv fue lenta: desde que ocurrió el ataque, no suspendieron el protocolo hasta más de dos horas después, lo que evidencia la necesidad de sistemas de respuesta rápida y automatizados.

Conclusión

Hasta el momento de redactar, Resolv Labs no ha anunciado un plan completo de compensación. No hay detalles sobre reembolsos a usuarios que aún mantienen USR o que perdieron fondos por el despegue, ni sobre compensaciones a los poseedores de RLP afectados por la dilución del fondo de seguro. La comunidad está atenta a si la compañía ofrecerá alguna forma de resarcimiento adicional.

Este ataque invita a reflexionar: ¿la “descentralización” en DeFi es una revolución en la arquitectura técnica o una reconfiguración del modelo de confianza? Cuando el equilibrio entre innovación y seguridad se rompe, quizás solo una vuelta a los principios de “confianza mínima” en la base pueda ofrecer un equilibrio sostenible entre eficiencia y riesgo.