USR Stablecoin s'effondre de 97% ! Une faille de frappe chez Resolv provoque le vol de 25 millions

L’attaquant a exploité une vulnérabilité de contrôle d’accès dans le contrat de frappe USR du protocole stablecoin Resolv, lors du fuseau horaire UTC, dimanche à 2h21. En utilisant environ 200 000 dollars USDC, il a frappé plus de 80 millions de jetons sans garantie, puis a échangé via des échanges pour voler environ 25 millions de dollars US. USR a immédiatement chuté à 0,025 dollar sur Curve Finance, principal pool de liquidité.

Mécanisme d’attaque : comment le contrat de frappe a été exploité

(Source : Etherscan)

Le compte X, YieldsAndMore, a enregistré la première transaction anormale : l’attaquant a déposé 100 000 USDC dans le contrat USR Counter de Resolv, recevant en retour 50 millions USR, soit environ 500 fois la quantité normale ; puis, dans une seconde transaction, il a frappé 30 millions de plus, totalisant environ 80 millions.

L’analyste on-chain Andrew Hong a identifié la problème principal dans le rôle de privilège SERVICE_ROLE du protocole. Ce rôle est utilisé pour exécuter des demandes de conversion, mais est contrôlé uniquement par des comptes externes ordinaires (EOA), et non par une architecture multi-signatures plus sécurisée. De plus, le contrat de frappe manque totalement de vérification de prix via oracles, de limite de quantité, et de mécanismes de plafonnement.

Le fonds DeFi D2 Finance propose trois scénarios d’attaque possibles : manipulation de l’oracle, compromission du signataire hors chaîne, ou absence de vérification de quantité entre la demande de frappe et l’exécution.

Impact sur le marché : propagation de l’effet de déstabilisation à l’écosystème DeFi de prêt

(Source : Trading View)

Après la frappe, en moins de 17 minutes, USR a chuté à 0,025 dollar dans le pool de liquidité Curve, puis a rebondi à environ 0,85 dollar, sans retrouver son ancrage complet. L’adresse principale de l’attaquant (commençant par 0x04A2) détient finalement 11 409 ETH (environ 23,7 millions de dollars), et une autre adresse liée détient environ 1,1 million de dollars en jetons wstUSR.

Effets en chaîne de la déstabilisation de USR

Perte de liquidité des plateformes de prêt : USR et wstUSR sont acceptés comme collatéral par Morpho et Gauntlet. Après déstabilisation, certains spéculateurs ont acheté USR à prix réduit et prêté USDC à sa valeur nominale, accélérant l’épuisement de la liquidité des coffres.

Pression sur la couche d’assurance RLP : La pool de liquidité Resolv (RLP), mécanisme d’absorption des pertes, circulait pour environ 38,6 millions de dollars avant l’attaque ; le plus grand détenteur, Stream Finance, détenait 13,6 millions de RLP dans Morpho, avec une exposition nette d’environ 17 millions de dollars.

Chute du jeton de gouvernance RESOLV : Suite à l’incident, RESOLV a chuté d’environ 8,5 % en 24 heures.

Malgré la déclaration de Resolv Labs que la pool de collatéral est « totalement intacte », les analystes on-chain soulignent que l’attaque était essentiellement une expansion de l’offre plutôt qu’un vol direct de collatéral. La création de 80 millions de nouveaux jetons a dilué la circulation existante, et la vente par l’attaquant a détruit la liquidité, causant des pertes substantielles aux utilisateurs détenant USR pendant l’incident.

Limitations des audits de sécurité et intersection avec la réglementation

Deddy Lavid, CEO de Cyvers, déclare : « Se limiter à un audit ne suffit pas, sans surveillance en temps réel de la frappe et de l’offre, on agit comme un aveugle au moment critique. » Le site officiel de Resolv affirme avoir réalisé 14 audits par cinq organismes et avoir mis en place un programme de récompenses de 500 000 dollars via Immunefi.

L’événement est survenu à un moment sensible. Les législateurs américains avancent activement dans la régulation des stablecoins à rendement selon le « GENIUS Act ». Plusieurs sénateurs clés avaient déjà convenu d’un principe sur la gestion des revenus des stablecoins la veille de l’attaque. De plus, selon le rapport récent d’Immunefi, la perte moyenne lors d’attaques cryptographiques en 2026 est d’environ 25 millions de dollars, ce qui correspond au montant de cet incident.

Questions fréquentes

Qu’est-ce qu’un stablecoin USR et pourquoi a-t-il déstabilisé ?

USR est un stablecoin dollar indexé par Resolv Labs, utilisant une stratégie delta neutre avec ETH et BTC comme supports sous-jacents. La déstabilisation n’est pas due à un manque de collatéral, mais à une attaque exploitant une faille de frappe pour créer massivement des jetons sans garantie, puis les vendre en masse, provoquant l’effondrement instantané du principal pool de liquidité.

Quelle est la vulnérabilité technique principale de cette attaque ?

La vulnérabilité réside dans le fait que le compte avec le rôle privilégié SERVICE_ROLE est contrôlé par un EOA ordinaire, et que le contrat de frappe ne vérifie pas le prix via oracle, ni la quantité, ni ne limite la frappe. Cela permet à un attaquant, avec seulement 200 000 dollars USDC, de frapper 500 fois la quantité normale de USR.

Quels risques de pertes concrètes pour les détenteurs de USR ?

L’attaque a massivement vendu USR sans garantie, détruisant la liquidité. Les utilisateurs détenant USR ont subi une perte immédiate en valeur de marché. De plus, le wstUSR, utilisé comme collatéral dans plusieurs plateformes DeFi, voit ses effets de déstabilisation affecter la structure de liquidité des coffres concernés.