Marché baissier « scénario classique » se répète, examen approfondi du « pillage éclair » de Resolv Labs et de l'événement de décrochage de l'USR

Rédigé par : Glendon, Techub News

Le 22 mars, le protocole DeFi spécialisé dans le développement de stablecoins à rendement décentralisé, Resolv Labs, a été victime d’une attaque par des hackers. Les données on-chain montrent qu’une adresse d’attaquant commençant par « 0 x04 A2 » a déposé seulement 100 000 USDC, puis a exploité une faille du protocole pour frapper 50 millions de USR stables. Par la suite, l’attaquant a répété la manœuvre, utilisant encore 100 000 USDC pour frapper 30 millions de USR. Pendant ce temps, Resolv Labs a confirmé via Twitter que le protocole avait été attaqué, précisant que l’équipe avait suspendu toutes les fonctionnalités et travaillait à la récupération.

Cependant, il était déjà trop tard. Au total, 80 millions de USR sans aucune garantie d’actifs ont rapidement inondé le marché, provoquant un dérapage rapide du stablecoin USR. En raison de la pénurie de liquidités, des glissements importants lors des transactions ont aggravé la chute du USR. Selon CoinMarketCap, le USR a brièvement perdu son ancrage, tombant à environ 0,06 USD, avec une chute de plus de 94 % (actuellement, le USR a rebondi à environ 0,32 USD, mais reste en « déconnexion grave »). Il est notable que le chemin de sortie de l’attaquant était clair et rapide, le processus s’étant achevé en quelques heures. Après avoir converti le USR illégalement frappé en wstUSR, il a massivement vendu sur des DEX comme Curve et Uniswap, échangeant contre USDC et USDT, puis converti ces stablecoins en environ 25 millions de dollars en Ethereum, réalisant ainsi une « razzia éclair » pour blanchir ses gains.

Dans un contexte de marché déjà morose, l’attaque contre Resolv Labs a sans doute encore fragilisé la confiance dans le secteur, illustrant une fois de plus ce que certains appellent le « scénario classique » du marché baissier. La cause de cette attaque reste le même problème récurrent : une conception défaillante du mécanisme de frappe.

Origine de la faille : la triple défaillance du mécanisme de frappe

Il est essentiel de préciser que le système de stablecoins de Resolv adopte une architecture à double couche. USR est un stablecoin indexé à 1:1 au dollar américain, que les utilisateurs peuvent frapper en déposant de l’ETH ou du BTC. Il utilise une stratégie Delta neutre, permettant au protocole d’ouvrir des positions courtes perpétuelles équivalentes en valeur pour compenser la volatilité, maintenant ainsi la stabilité de l’USR. Les détenteurs d’USR peuvent également bénéficier d’une part des revenus générés par le protocole, et participer à la consolidation des gains via des protocoles DeFi comme Pendle ou Sommelier.

Par ailleurs, Resolv a introduit le Resolv Liquidity Provider Token (RLP) comme « pool d’assurance » pour absorber d’éventuelles pertes liées à des stratégies de couverture, telles que liquidations, glissements ou fluctuations des taux de financement. Lors de cette attaque, le RLP n’a pas été épargné. Selon CoinGecko, le prix du RLP est passé de 1,38 USD à 0,23 USD, soit une chute de plus de 83 %. Actuellement, il a rebondi à 0,98 USD.

Comment Resolv Labs a-t-il été attaqué ?
Selon les analyses combinées des experts en sécurité de PeckShield et de plusieurs analystes on-chain, la cause profonde de l’incident réside dans une faille grave dans le contrôle des permissions et le mécanisme de vérification du contrat de frappe. La première est une vulnérabilité critique dans le contrôle des permissions : dans le processus normal, pour frapper des USR, l’utilisateur doit déposer une garantie, et la quantité frappée doit être proportionnelle à la valeur de cette garantie (1:1). Cependant, l’attaquant a exploité le rôle SERVICE_ROLE pour contourner la vérification de la valeur de la garantie, en fixant directement une quantité astronomique de USR, permettant ainsi de frapper 80 millions d’USR avec seulement 200 000 USD en USDC — une opération à effet de levier extrêmement élevé.

Ce défaut de conception repose sur le fait que le rôle SERVICE_ROLE détient le pouvoir de décider directement du montant frappé, ce qui constitue un « super-pouvoir ». Le protocole n’a pas adopté de mécanisme multisignature ou de réseau de signataires décentralisés, mais s’appuie sur une ou quelques clés privées, ce qui, en cas de fuite ou de compromission, entraîne la perte totale du contrôle.

La deuxième faille majeure est l’absence de mécanisme de vérification des montants on-chain. Le contrat de frappe fait entièrement confiance aux signatures hors chaîne pour déterminer la quantité à frapper, sans limiter le montant (par exemple, pas de limite maximale de 1 million USR par transaction) ni utiliser d’oracle pour vérifier en temps réel la valeur de la garantie ou la quantité frappée. Cela signifie que si un attaquant contrôle ou compromet la clé hors chaîne, il peut frapper autant d’USR qu’il le souhaite, sans se soucier de la suffisance de la garantie. Ce manque de vérification a ouvert la porte à l’attaque.

Enfin, la stratégie Delta neutre elle-même présente des risques potentiels. La conception de Resolv repose sur une forte dépendance entre la logique de frappe, les signatures hors chaîne et les oracles, ce qui constitue une surface d’attaque vulnérable. Si l’un de ces éléments est compromis, tout le mécanisme peut s’effondrer.

Ce matin, Resolv Labs a publié une déclaration expliquant l’origine de l’attaque. Celle-ci résulte d’une intrusion non autorisée dans leur infrastructure, via une fuite de clé privée, permettant à l’attaquant d’accéder illégalement à leur système et de frapper environ 80 millions de USR sans garantie.

Mesures et perspectives
Resolv a également révélé que l’attaquant détient environ 9 millions d’USR qui ont été détruits avec succès. La quantité totale d’USR en circulation comprend 102 millions d’USR existants avant l’incident, plus environ 71 millions de USR nouvellement frappés de manière illégitime. Pour limiter les pertes, ils envisagent de réactiver la fonction de rachat des USR avant l’incident, en commençant par les utilisateurs en liste blanche. Ils insistent également sur le fait que les actifs de garantie sous-jacents ne sont pas directement affectés, et poursuivent la traque des USR illégaux et autres actifs impactés.

Ce geste constitue une première étape de réparation pour les utilisateurs précoces, illustrant l’effort de l’équipe pour limiter les dégâts et récupérer des fonds. Cependant, l’incident a déjà provoqué une réaction en chaîne dans le secteur.

Réactions en chaîne et enseignements
L’impact immédiat est la forte déconnexion du USR et la chute du token natif RESOLV, qui a brièvement chuté de plus de 16 % à 0,052 USD. De nombreux protocoles DeFi ont été affectés : la pool USR/USDC sur Curve a instantanément implosé ; le marché de prêt Morpho, supportant USR et wstUSR comme collatéraux, a été presque vidé, avec un risque de liquidation massif pour les utilisateurs.

Cependant, Paul Frambot, co-fondateur de Morpho, a tweeté que l’impact de l’attaque sur Morpho n’était pas aussi grave que certains le craignaient. L’incident concerne principalement USR, RPL et les marchés de prêt utilisant ces actifs comme collatéral. Sur environ 500 coffres de plus de 10 000 USD, une dizaine présentent une exposition importante.

D’autres protocoles intégrés à Resolv ou partenaires n’ont pas subi de dommages majeurs, mais ont dû prendre des mesures d’urgence pour protéger leurs utilisateurs. Par exemple, Gauntlet a précisé que leur plateforme n’avait pas de positions en USR ou RLP, et que leurs coffres n’étaient pas affectés. Ils travaillent avec Resolv pour élaborer des solutions de compensation.

De même, Fluid a indiqué avoir obtenu un prêt à court terme pour couvrir ses dettes, assurant la sécurité des fonds. Stani.eth, fondateur d’Aave, a affirmé que leur protocole n’avait pas d’exposition à USR, qui n’est qu’un actif de liquidité supporté par Resolv. D’autres protocoles utilisant USR pour la consolidation de rendement, comme Pendle ou Sommelier, ont vu leurs rendements et valeurs indirectement affectés.

Cela met en lumière une réalité cruelle dans l’écosystème DeFi : la faillite d’un seul protocole peut entraîner une « réaction en chaîne » de plusieurs autres, surtout si un actif est largement utilisé comme collatéral. Même non attaqués directement, ces protocoles subissent des dommages réputationnels et opérationnels.

Pendant l’incident, l’attaquant a également vendu par lots 8 millions d’USR sur Curve, Uniswap et autres DEX, provoquant une forte volatilité. La chute du prix de l’USR a entraîné des pertes pour les fournisseurs de liquidité, qui ont subi des pertes impermanentes et une dépréciation de leurs actifs, principalement en USR déconnecté. Cela révèle la faiblesse structurelle des pools de faible volume ou profondeur insuffisante, incapables d’absorber de telles pressions, ce qui entraîne des distorsions de prix et des risques systémiques.

Au sens large, l’incident Resolv n’est pas qu’une faille isolée, mais une nouvelle alerte pour le marché crypto, pouvant déclencher une crise de confiance dans les stablecoins. La déconnexion et les failles de sécurité de ces actifs fondamentaux fragilisent tout l’écosystème, alimentant le scepticisme sur la viabilité à long terme des stablecoins algorithmiques et à rendement. Cela pourrait aussi pousser certains investisseurs prudents à se retirer des protocoles à haut risque, en faveur d’actifs plus stables ou de stratégies de couverture.

L’événement sonne comme un avertissement pour l’ensemble du secteur, d’autant plus dans un marché en phase baissière et avec une tolérance au risque faible. La dépendance excessive à la signature hors chaîne sans vérification on-chain, révélée par cette attaque, est perçue comme un « effondrement du modèle de confiance ». Il est également conseillé d’adopter des mécanismes multisignatures, d’intégrer des oracles décentralisés comme Chainlink ou Pyth pour la vérification en temps réel, et d’implémenter des circuits de sécurité automatiques pour renforcer la résilience.

Concernant la réponse d’urgence, il a été constaté que Resolv a mis plus de deux heures à suspendre le protocole après l’attaque, ce qui montre une faiblesse dans leur processus de gestion de crise. À l’avenir, il serait crucial de mettre en place des systèmes de réponse rapide et automatisée.

Conclusion
Au moment de la rédaction, Resolv Labs n’a pas encore annoncé de plan complet de compensation. Les utilisateurs ayant conservé des USR après l’incident ou ayant subi des pertes dues à la déconnexion, ainsi que les détenteurs de RLP affectés par la dilution de la réserve, attendent encore des mesures concrètes. La communauté surveille de près leurs démarches pour une éventuelle indemnisation.

Cet incident soulève une question essentielle : le « décentralisé » en DeFi est-il une révolution technologique ou une reconstruction du modèle de confiance ? Lorsque l’équilibre entre innovation et sécurité est rompu, seul un retour à une logique de « confiance minimale » peut permettre de trouver un équilibre durable entre efficacité et risque.