Resolv Labs supprime 57 % des jetons USR créés illégalement

Un hacker a exploité la clé privée de Resolv via AWS Key Management Service, créant 80 millions de jetons USR non garantis en utilisant seulement ~$100K en USDC.

L'attaquant a converti USR en wstUSR, échangé contre des stablecoins, puis encaissé ~$25M en ETH (11 409 ETH) avant que quiconque ne puisse réagir.

USR a chuté de $1 à 0,025 $ sur Curve Finance en 17 minutes.

Réponse de Resolv :
→ Brûlé environ 9 millions de USR le jour 1
→ Mise à niveau du contrat wstUSR pour mettre sur liste noire les portefeuilles des attaquants
→ Total de 46 millions de jetons (57%) supprimés définitivement
→ Aucun USR illicite ne reste désormais sur les adresses des attaquants.

Mais la réalité :
→ L'attaquant a déjà encaissé ~$25M en ETH
→ Le protocole détient ~$95M d’actifs contre des passifs plus élevés (en faillite fonctionnelle)
→ La parité USR N’EST PAS restaurée
→ 18 audits n’ont pas permis de détecter la faille

Cause racine : absence de limites de création, absence de vérifications oracle, création contrôlée par une seule clé privée. Pas de multisig.

Leçon clé : Les audits de contrats intelligents ne suffisent PAS. La sécurité de l’infrastructure hors chaîne est tout aussi cruciale pour les protocoles DeFi.

Les rachats sont ouverts uniquement pour les détenteurs de USR avant l’exploitation via une liste d’autorisation. NE pas échanger de USR pendant la période de récupération.