Protocolo Resolv Explotado – Atacante Canjea 200K USDC por $23.8 Millones en Gran Brecha de Seguridad

El ecosistema DeFi ha experimentado recientemente una explotación avanzada que continúa evidenciando las vulnerabilidades existentes en los mecanismos de acuñación de varios protocolos dentro del ecosistema DeFi. El 22 de marzo de 2026, la plataforma de monitoreo de seguridad conocida como Lookonchain notificó a la comunidad sobre una brecha enorme que involucraba a Resolv, un protocolo de gestión de activos sintéticos. Según datos en la cadena, un hacker convirtió una pequeña cantidad de 200,000 USDC en una gran suma de dinero, retirando millones de dólares en liquidez del mercado en un corto período de tiempo.

Mecánica de la explotación de acuñación

Un explotador utilizó una brecha en el contrato de acuñación de Resolv para iniciar la brecha. Al depositar 200,000 en USDC, el explotador pudo usar la contabilidad interna del protocolo para acuñar una cantidad astronómica de 80,000,000 USR. Esta enorme inflación en la oferta de USR no cuenta con respaldo colateral, creando así un valor fantasma de la nada.

Una discrepancia entre la seguridad tangible que respalda cada token USR y el USR que existe indica que probablemente hay un fallo en la funcionalidad del oráculo de precios o en la lógica de la función de “acuñación” dentro del protocolo. Posteriormente, tras asegurar el USR creado mediante la acuñación de 80 millones, el atacante convirtió rápidamente los sintéticos en un activo cripto “duro”. Esto se hizo antes de que el precio proyectado del USR se desacoplara del peg o antes de que el protocolo tuviera la oportunidad de detener las transacciones.

Liquidando los botines – La conversión de $23.8 millones

La rapidez es esencial en las explotaciones DeFi; por ello, el atacante mostró una gran capacidad para aprovechar la oportunidad rápidamente. Según registros en cadena de Arkham Intelligence, el atacante transfirió inmediatamente 44,780,000 USR a diferentes DEX y agregadores. Este gran número de tokens sintéticos fue convertido en 11,437 ETH, aproximadamente $23.8 millones en el momento de la transacción.

La cantidad restante de USR en poder del perpetrador probablemente sea el aspecto más preocupante de este ataque para el ecosistema Resolv, ya que actualmente, 35.14 millones de USR aún permanecen en la cartera del atacante. Aunque es probable que los pools de liquidez que contienen USR hayan sido destruidos tras la venta inicial, los tokens en sí todavía existen. Por lo tanto, cualquier futura introducción de liquidez en el sistema presenta un riesgo secundario.

La tendencia creciente de vulnerabilidades en activos sintéticos

Este evento no es solo un incidente aislado, sino parte de una tendencia mayor en la que los atacantes ahora apuntan a los mecanismos de acuñación y quema de los protocolos de activos sintéticos. Los activos sintéticos dependen de fórmulas matemáticas muy complejas para mantener sus pegs, por lo que incluso el menor error en el código podría tener consecuencias drásticas.

Las firmas de seguridad han sido muy vocales respecto a los riesgos de los protocolos DeFi cada vez más interconectados. A medida que estos sistemas se vuelven más entrelazados, una sola explotación en un área puede generar problemas generalizados en todo el ecosistema.

Conclusión

La explotación de Resolv ilustra que las finanzas descentralizadas aún operan en una especie de salvaje oeste. Aunque la transición a Web3 crea nuevas libertades financieras, también impone requisitos adicionales en la calidad del código y en la diligencia de quienes invierten en proyectos. Mientras Resolv investiga la causa principal de la explotación, la recuperación de fondos de la cartera del atacante es una prioridad secundaria. El enfoque principal es que los participantes en DeFi implementen mejoras continuas en los protocolos de seguridad para prevenir pérdidas de capital en esta escala. El atacante actualmente posee aproximadamente $23 millones en Ethereum, y la comunidad de Resolv continúa sintiendo los efectos adversos de este incidente.