Resolv Labs Remove 57% dos Tokens USR Ilegalmente Criados

Um hacker explorou a chave privada da Resolv via AWS Key Management Service, criando 80M de tokens USR não lastreados usando apenas ~$100K em USDC.

O atacante converteu USR em wstUSR, trocou por stablecoins e sacou ~$25M em ETH (11,409 ETH) antes que alguém pudesse reagir.

USR caiu de $1 para $0,025 na Curve Finance em 17 minutos.

Resposta da Resolv:
→ Queimou cerca de 9 milhões de USR no Dia 1
→ Atualizou o contrato wstUSR para colocar na blacklist as carteiras do atacante
→ Um total de 46 milhões de tokens, (57% ), removidos permanentemente
→ Nenhum USR ilícito permanece agora nas carteiras do atacante.

Mas a realidade:
→ O atacante já sacou cerca de $25M em ETH
→ O protocolo possui cerca de $95M de ativos contra passivos maiores, (, tornando-se funcionalmente insolvente
→ O peg do USR NÃO foi restaurado
→ 18 auditorias não detectaram a falha

Causa Raiz: Sem limites de criação, sem verificações de oracle, criação controlada por uma única chave privada. Sem multisig.

Lição Principal: Auditorias de contratos inteligentes por si só NÃO são suficientes. A segurança da infraestrutura off-chain é igualmente crítica para protocolos DeFi.

Resgates abertos apenas para detentores de USR pré-exploração via lista de permissões. NÃO negocie USR durante a recuperação.