Depeg de l’USR, le stablecoin de Resolv : Retour sur un dimanche noir
L’enfer est pavé de bonnes intentions, et en DeFi, il est aussi pavé de clés privées mal gardées. Le dimanche 22 mars 2026, soit hier, restera gravé dans les mémoires des utilisateurs de Resolv Labs comme le jour où leur « stablecoin » USR a décidé de s’offrir un saut à l’élastique… sans l’élastique. En l’espace de 17 petites minutes, l’USR, censé être le roc delta-neutre de l’écosystème, s’est écrasé à 0,025 $.
Ce n’est pas une faille de code qui a mis le feu aux poudres, mais une erreur humaine classique transportée dans le cloud. Comme le souligne Chainalysis avec ironie : « Le code a fonctionné exactement comme prévu. C’est l’infrastructure off-chain qui a échoué. »
- Le stablecoin USR de Resolv Labs a subi une chute catastrophique à 0,025 $ en seulement 17 minutes, en raison d’une erreur humaine liée à une clé privée mal sécurisée.
- Un attaquant a réussi à exploiter cette faille, transformant un dépôt initial de 100 000 USDC en 11 409 ETH, exposant ainsi les faiblesses de sécurité et les dépendances critiques du protocole.
Chronologie d’un braquage 2.0 : De 200k $ à 25 millions
Tout commence à 2h21 UTC. Alors que la plupart des traders rêvent de bougies vertes, l’attaquant (adresse commençant par 0x04A2, wallet principal 0x8ed8 ) passe à l’action. Sa mise de départ ? Un modeste dépôt de 100 000 USDC dans le contrat USR Counter. Rien qui ne puisse faire sourciller un algorithme de surveillance standard.
Pourtant, la magie noire de la crypto opère : grâce à une signature valide obtenue via une clé compromise, le hacker parvient à valider un swap lui octroyant 50 millions de jetons USR. Soit un multiplicateur de 500x par rapport à son dépôt initial. Gourmand, il réitère l’opération pour 30 millions de jetons supplémentaires.
En quelques clics, 80 millions d’USR « fantômes », totalement dépourvus de collatéral, inondent le marché. Pour masquer l’odeur du soufre, le hacker convertit immédiatement ses USR en wstUSR (la version « staked ») avant de les dumper massivement contre de l’ETH. Le butin final ? 11 409 ETH, bien au chaud dans le wallet.
L’autopsie technique : Le péché originel du SERVICE_ROLE
Comment un protocole ayant levé 10 millions de dollars auprès de Coinbase Ventures et Animoca a-t-il pu laisser une telle porte ouverte ? La réponse tient en deux mots : SERVICE_ROLE.
Le système de minting de Resolv reposait sur un processus en deux étapes :
- requestSwap : L’utilisateur dépose ses fonds.
- completeSwap : Un service off-chain valide la transaction avec une signature numérique.
Le problème ? Ce rôle de validateur était contrôlé par une simple clé privée hébergée sur AWS KMS (le service de gestion de clés d’Amazon), et non par un multisig sécurisé. Pire encore, le smart contract de Resolv était d’une confiance aveugle : il n’imposait aucune limite maximale de minting, aucun oracle de prix et aucun check de ratio de collatéralisation. Si la clé disait « imprimez 50 millions », le contrat s’exécutait sans poser de questions.
Effet domino : Morpho, Gauntlet et le spectre de Stream Finance
Si le depeg a été violent pour les holders directs, le séisme a propagé ses ondes de choc dans toute la DeFi. L’USR et son dérivé wstUSR étant acceptés comme collatéraux sur Morpho, des traders avisés ont profité de la chute du cours pour acheter de l’USR à prix cassé et l’utiliser pour emprunter des stablecoins « sains » sur des vaults dont les oracles n’avaient pas encore réagi.
Le maillon le plus faible de cette chaîne reste Stream Finance. Déjà fragilisé par une perte de 93 millions de dollars fin 2025, le protocole se retrouve avec une exposition nette de 17 millions de dollars sur le Resolv Liquidity Pool (RLP).
Leçons de sécurité : 14 audits pour rien ?
Resolv affichait fièrement 14 audits et un bug bounty de 500 000 $ chez Immunefi. Pourtant, l’attaque a réussi. Pourquoi ? Parce que la plupart des audits se concentrent sur la pureté du code on-chain, négligeant souvent les dépendances critiques avec l’infrastructure centralisée.
L’incident survient également dans un climat politique électrique. Aux États-Unis, le GENIUS Act fait rage, les régulateurs cherchant des excuses pour serrer la vis aux stablecoins générateurs de rendement (yield-bearing). Un hack de cette ampleur est, hélas, l’argument parfait pour limiter ces produits financiers.
À l’heure où nous écrivons ces lignes, Resolv Labs a mis le protocole en pause. L’USR tente de panser ses plaies, s’échangeant péniblement autour de 0,85 $, bien loin de sa promesse de parité. Le jeton de gouvernance RESOLV, lui, a fondu de près de 9 % dans la tourmente. Affaire à suivre, sur Le Journal du Coin.
Magali
Tombée dans le terrier du lapin blanc en 2017, je suis passée de lectrice assidue à Rédactrice en chef du Journal du Coin. J’aime m'investir dans les coulisses de projets pour porter ma vision d'un futur décentralisé. Amoureuse des belles lettres, je coordonne nos équipes pour transformer la complexité technique en une information humaine, précise et sans jargon inutile. Entre entrepreneuriat et rédaction, ma mission est claire : vulgariser demain, mais le faire aujourd'hui.
