Nel fine settimana un grave attacco a Resolv ha colpito la stablecoin USR, permettendo a un hacker di sfruttare la logica di mint e sottrarre circa 25 milioni di dollari in Ether.
Summary
Dinamica tecnica dell’exploit e impatto sulla stablecoin USR
L’aggressione al protocollo Resolv è iniziata intorno alle 2:21 del mattino (UTC), quando un attaccante ha sfruttato una vulnerabilità nel meccanismo di emissione di USR. Con un deposito iniziale di soli 200.000 USDC, il soggetto ha generato circa 80 milioni di token non coperti.
Il primo passaggio chiave è stato il versamento di 100.000 USDC nel contratto USR Counter, in cambio di 50 milioni di USR, pari a circa 500 volte l’ammontare legittimo. Una seconda transazione ha prodotto ulteriori 30 milioni di token, amplificando l’inflazione dell’offerta circolante.
Successivamente, l’hacker ha iniziato a scambiare sistematicamente l’USR ottenuta indebitamente con USDC e USDT su varie piattaforme decentralizzate. Inoltre, i proventi sono stati consolidati in Ether, con il wallet dell’attaccante che detiene attualmente 11.409 ETH, pari a circa 23,7 milioni di dollari ai prezzi correnti.
Depeg su Curve e crollo di valore per gli utenti USR
Progettata per mantenere l’ancoraggio a 1 dollaro, la stablecoin ha subito un collasso quasi immediato. Solo 17 minuti dopo la prima transazione di mint, il prezzo di USR su Curve Finance è precipitato fino a 0,025 dollari, segnando un depeg estremo.
Nei minuti successivi si è registrato un parziale rimbalzo, con la quotazione risalita intorno a 0,85 dollari. Tuttavia, il token è rimasto ampiamente distante dalla parità con il dollaro per tutta la mattinata di domenica, con perdite significative per chi deteneva posizioni aperte.
In questo contesto di forte volatilità, l’enorme afflusso di circa 80 milioni di nuovi token ha generato una pesante diluizione per i possessori preesistenti. Inoltre, la pressione di vendita esercitata dall’attaccante ha prosciugato la liquidità disponibile nei pool, aggravando il crollo dei prezzi.
Reazione di Resolv e primi chiarimenti sul danno
Il team di Resolv Labs ha annunciato su X la sospensione temporanea di tutte le operazioni del protocollo. Gli sviluppatori hanno sottolineato che il pool di collateral “rimane pienamente intatto” e che “nessun asset sottostante” sarebbe stato compromesso durante l’incidente.
Secondo la società, la vulnerabilità sarebbe limitata esclusivamente alle “meccaniche di emissione di USR”, con l’infrastruttura di base ritenuta ancora sicura. Tuttavia, gli analisti on-chain hanno evidenziato che i detentori di USR hanno subito danni rilevanti, indipendentemente dalla tenuta del collateral.
Detto ciò, l’inflazione improvvisa dell’offerta e l’esaurimento di liquidità hanno causato perdite immediate nei portafogli di chi era esposto al token durante l’attacco. Il caso rappresenta quindi un classico esempio di rischio di design delle stablecoin algoritmiche o semi-collateralizzate.
Origine tecnica della compromissione dei privilegi
Il ricercatore di sicurezza blockchain Andrew Hong ha tracciato l’origine dell’exploit a un account privilegiato identificato come SERVICE_ROLE. Questo ruolo critico era gestito tramite un singolo account esterno, anziché attraverso un portafoglio multisig più sicuro e ridondante.
Inoltre, il contratto di mint non implementava protezioni fondamentali, come la verifica tramite oracoli, controlli sull’ammontare delle transazioni e limiti massimi all’emissione. Tale combinazione di privilegi centralizzati e assenza di guardrail ha aperto la strada al mint non autorizzato di USR su vasta scala.
La società di sicurezza Pashov, che aveva precedentemente auditato il modulo di staking di Resolv nel luglio 2025, ha riferito a Cointelegraph che il problema di fondo sembra riconducibile alla compromissione di una chiave privata. Secondo la società, non emergono al momento falle strutturali nell’architettura del protocollo.
Il ruolo dei controlli in tempo reale e dei molteplici audit
Il CEO di Cyvers, Deddy Lavid, ha sottolineato come le sole attività di audit non siano sufficienti a prevenire incidenti di questo tipo. A suo giudizio, senza un monitoraggio in tempo reale dell’emissione di token e dei cambiamenti nella quantità in circolazione, i protocolli restano “ciechi” nei momenti cruciali.
Il sito ufficiale di Resolv elenca 14 audit eseguiti da cinque diverse società di sicurezza, oltre a un programma di bug bounty da 500.000 dollari ospitato su Immunefi. Inoltre, vengono dichiarati sistemi di sorveglianza continua sui contratti intelligenti del protocollo.
Nel complesso, l’episodio dimostra come una catena di controlli apparentemente robusta possa risultare insufficiente se la gestione degli account privilegiati e delle chiavi private non segue standard di sicurezza avanzati. Il nodo critico, in questo caso, sembra risiedere più nella governance operativa che nel codice.
Reazione del settore DeFi e gestione del rischio
Le principali piattaforme DeFi hanno reagito rapidamente all’attacco, valutando l’esposizione diretta e indiretta a USR. Lido ha comunicato che i fondi degli utenti depositati in Lido Earn risultano al sicuro, senza impatti sui depositanti.
Il fondatore di Aave, Stani Kulechov, ha reso noto che il protocollo non presentava esposizione diretta al token. Inoltre, ha confermato che Resolv stava procedendo al rimborso del debito residuo, mitigando così il rischio per il mercato del lending.
Il cofondatore di Morpho, Merlin Egalite, ha chiarito che solo alcuni vault specifici avevano esposizione a USR. Detto ciò, le analisi sono proseguite per valutare possibili effetti secondari, specialmente sui depositanti che utilizzano vault più complessi.
Contagio nel lending: dinamiche di mercato post-exploit
Sia USR sia il suo derivato in staking wstUSR risultavano approvati come collateral su piattaforme come Morpho e Gauntlet. Questo ha aperto margini di arbitraggio per trader opportunisti, che potrebbero aver acquistato USR a forte sconto e utilizzato tali posizioni per ottenere prestiti in USDC al valore pieno di 1 dollaro.
In pratica, l’utilizzo di un collaterale gravemente deprezzato ma ancora valutato a prezzo nominale ha consentito di drenare la liquidità dei vault interessati. Inoltre, ciò ha aumentato il rischio sistemico per i protocolli che non aggiornano tempestivamente i parametri di rischio in caso di depeg.
Il token junior di assicurazione di Resolv, RLP, si trova anch’esso esposto a potenziali perdite di capitale. Stream Finance detiene infatti circa 13,6 milioni di RLP, per un valore intorno ai 17 milioni di dollari, con possibili ripercussioni sulla propria base di depositanti.
Effetti su Stream Finance e sui token di governance
Stream Finance non è nuova a shock di questo tipo: a novembre 2025 aveva già riportato una perdita di circa 93 milioni di dollari. L’esposizione all’asset assicurativo di Resolv potrebbe quindi generare ulteriori tensioni sulla stabilità della piattaforma.
Parallelamente, il token di governance RESOLV ha perso circa 8,5% nelle 24 ore successive alla violazione di sicurezza. Questo calo riflette la sfiducia degli investitori, in contrasto con altri token DeFi rimasti relativamente stabili nello stesso periodo.
Rispetto a episodi precedenti, la reazione del mercato appare comunque ordinata, con volumi sostenuti ma senza panico diffuso sugli asset non direttamente collegati all’ecosistema di Resolv. Tuttavia, resta da capire se emergeranno ulteriori esposizioni nascoste.
Un caso emblematico nel quadro più ampio dei mega-hack crypto
L’ultimo attacco a Resolv si inserisce in un trend più ampio di grandi violazioni nel settore delle criptovalute. Un recente rapporto di Immunefi indica che, in media, ogni grande hack provoca oggi danni per circa 25 milioni di dollari.
Inoltre, le cinque violazioni più gravi verificatesi tra il 2024 e il 2025 rappresentano da sole il 62% dei fondi totali sottratti in questo arco temporale. Ciò evidenzia una crescente concentrazione del rischio su pochi eventi di dimensioni eccezionali.
Nel complesso, l’incidente Resolv mette in luce la necessità per i protocolli di rafforzare non solo il codice, ma anche la gestione dei privilegi, il monitoraggio in tempo reale e le procedure di risposta agli incidenti, per tutelare utenti e liquidità dell’ecosistema.
