Stablecoin de Resolv Labs se dépéguise alors qu'une personne malveillante émet des millions de jetons

Une stablecoin liée au projet crypto Resolv Labs a perdu son ancrage dollar après qu’une exploitation délibérée a permis à un attaquant de créer des millions de tokens USR. Resolv Labs a annoncé sur X que les fonctions du protocole avaient été mises en pause pour limiter les dégâts et que l’équipe travaillait sur des efforts de récupération. Dimanche, l’attaquant a créé 50 millions d’USR, apparemment en déposant pour 100 000 USDC, ce qui a entraîné une déconnexion rapide du dollar et une crise de liquidité sur le marché USR.

Des données on-chain et des posts d’observateurs ont indiqué une création supplémentaire de 30 millions d’USR, renforçant les inquiétudes concernant la logique de minting du contrat et l’intégrité du mécanisme de fixation du prix de l’actif. L’incident a affecté plusieurs pools de liquidité, USR se négociant bien en dessous de son objectif de 1 dollar, la liquidité s’étant évaporée alors que les participants cherchaient à sortir en stablecoins et autres actifs.

Alors que le marché absorbait le choc, D2 Finance a estimé que la fonction de minting du contrat USR avait été compromise — que ce soit par une manipulation de l’oracle, une brèche du signataire hors chaîne, ou l’absence de validation entre la demande et l’exécution. Ces événements ont mis en évidence les risques importants persistants dans les tokens DeFi qui dépendent d’oracles on-chain et de règles de minting programmables, même lorsqu’ils visent un objectif simple d’ancrage dollar.

Principaux points à retenir

L’attaquant a créé 50 millions d’USR en déposant des USDC, provoquant une déconnexion rapide du dollar et une fuite vers la sortie sur plusieurs protocoles.

Les premiers rapports indiquent qu’une seconde vague de minting a ajouté 30 millions d’USR, aggravant la crise de liquidité et le glissement de prix.

L’attaquant a converti USR en USDC et USDT, puis en ETH, avec des signes de liquidation agressive et rapide sur plusieurs plateformes.

Resolv Labs a mis en pause les fonctions du protocole pour éviter d’autres dégâts et poursuit ses efforts de récupération ; l’incident met en lumière d’éventuelles faiblesses dans les fonctions de minting et les contrôles de risque inter-protocoles.

Les données du marché montrent USR négociant autour de 0,85 dollar, après un crash éclair à environ 2,5 cents sur Curve Finance ; la liquidité du pool USR/USDC a été gravement perturbée.

Ce qui s’est passé sur la chaîne et pourquoi cela compte

La surveillance on-chain et les posts sociaux décrivent une séquence débutant par un événement de minting : l’attaquant a exploité une vulnérabilité du contrat USR pour générer 50 millions de nouveaux tokens. Il a financé cette création en déposant des USDC dans le contrat, empruntant ainsi de la valeur pour créer une nouvelle offre sans soutien tangible. Résultat immédiat : une perte de confiance dramatique dans l’ancrage d’USR et une vague de transferts rapides alors que les utilisateurs cherchaient à convertir USR en actifs plus stables.

Les analystes de D2 Finance ont qualifié la fonction de minting de « cassée » ou insuffisamment protégée. Ils ont identifié trois causes possibles : un oracle compromis fournissant des données de prix, un signataire hors chaîne piraté ou compromis autorisant le minting, ou simplement une validation manquante ou mal appliquée entre la demande de minting et son exécution. La cause exacte influencera la rapidité de la récupération du protocole et les remèdes possibles (fusions de tokens, brûlages, etc.) pour restaurer la stabilité.

L’incident s’inscrit dans un contexte plus large où les échanges et protocoles crypto ont signalé une baisse des hacks en février, même si les exploits on-chain et le phishing restent des menaces persistantes. L’événement avec USR montre que les stablecoins liés à de petits projets peuvent subir une volatilité excessive si la logique de minting est vulnérable ou si la liquidité du marché est fragile.

Dynamique du marché et de la récupération

Selon les observateurs, l’attaquant a déplacé USR minté à travers plusieurs protocoles, échangeant contre des stablecoins comme USDC et USDT, puis convertissant en ETH. Ce flux de sortie correspond à un « retrait complet » en DeFi, où l’attaquant privilégie un retrait rapide pour minimiser l’exposition au slippage et aux lacunes de liquidité.

Pendant que USR se négociait, les prix ont montré une déviation importante par rapport à l’ancrage de 1 dollar. Sur certains marchés, USR a été échangé à seulement 50 cents, reflétant des contraintes de liquidité et du slippage. Au début, USR tournait autour de 0,85 dollar, soit environ 13 % en dessous de l’ancrage, avec un crash éclair du pool USR/USDC de Curve Finance à environ 2,5 cents. Le volume sur 24 heures du pool atteignait plusieurs millions de dollars, indiquant une tension de la liquidité alors que les traders tentaient de profiter des dislocations temporaires de prix. La crise de liquidité s’est étendue à d’autres plateformes, comme en témoignent des échecs de transactions on-chain liés à des tentatives de liquidation urgente.

Resolv Labs a réagi en suspendant les activités du protocole pour éviter d’autres exploitations, une étape visant à stabiliser la situation pendant que les enquêteurs et partenaires de sécurité évaluent la suite. Les observateurs ont noté que la vitesse et l’ampleur du minting et du cashout suggèrent une tentative concertée de récolter de la valeur avant que la confiance ne revienne, un pattern typique des hacks DeFi visant une extraction rapide de liquidités.

La communauté DeFi dans son ensemble surveillera si Resolv Labs pourra mettre en œuvre des correctifs robustes pour le mécanisme de minting, restaurer la liquidité et regagner la confiance dans USR. L’incident soulève des questions sur la présence éventuelle d’autres vulnérabilités dans les contrats de minting d’autres projets et sur la résilience des gouvernances, oracles et architectures de signataires face à des attaques sophistiquées.

Ce que les lecteurs doivent surveiller ensuite

Les trajectoires de récupération dans des incidents complexes de DeFi dépendent de plusieurs éléments : correctifs de sécurité au niveau des contrats, audits post-incident, et résilience de la liquidité sur les principales plateformes. Il faut suivre si Resolv Labs pourra déployer une mise à jour sécurisée du contrat USR, comment le projet gère la valorisation et le soutien pour restaurer l’ancrage, et si des soutiens de liquidité externes ou des mesures de gouvernance seront déployés pour stabiliser le marché.

Les investisseurs et utilisateurs doivent également suivre les mises à jour des chercheurs en sécurité et des exchanges, qui pourraient publier de nouvelles découvertes on-chain, des chronologies d’incidents, et des recommandations pour atténuer les risques similaires. Comme dans beaucoup d’exploits DeFi, la ligne entre vulnérabilités on-chain et décisions de gouvernance hors chaîne influencera la rapidité et l’étendue d’une éventuelle récupération.

À court terme, le marché restera probablement prudent autour d’USR pendant que l’équipe met en œuvre son plan de récupération et que des audits tiers valident les correctifs apportés à la logique de minting. Cet incident rappelle que même des stablecoins apparemment simples peuvent comporter des risques importants si leurs contrôles économiques fondamentaux ne sont pas étanches, surtout dans un écosystème en mouvement rapide et dépendant de la liquidité.