Resolv (USR) : Révélations sur l’attaque à 25 millions de dollars et l’ultimatum du protocole
Le DeFi de la décentralisation. Le marché des stablecoins synthétiques traverse une zone de fortes turbulences suite à l’attaque du protocole Resolv survenue le dimanche 22 mars. Un attaquant a réussi à générer 80 millions de jetons USR sans contrepartie, extrayant environ 25 millions de dollars. Si Resolv Labs a lancé ce lundi un ultimatum de 72 heures au voleur, lui offrant une prime de 10 % (soit 2,5 millions de dollars) contre la restitution du solde, l’incident dépasse le simple cadre d’un vol. Il met en lumière les défaillances critiques des « curateurs », ces nouveaux intermédiaires de la finance décentralisée censés protéger le capital des utilisateurs. Explications.
- Le protocole Resolv a été piraté, permettant à un attaquant de créer 80 millions de jetons USR sans contrepartie, extrayant environ 25 millions de dollars.
- Cette faille a révélé des défaillances critiques chez les curateurs de la finance décentralisée, défiant leur promesse de sécurité et de surveillance rigoureuse.
Resolv : Les mécanismes d’une défaillance technique et opérationnelle
L’attaque repose sur la compromission d’une clé privée unique gérant le rôle de frappe (SERVICE_ROLE) du protocole, hébergée sur un environnement AWS KMS, selon les informations collectées et partagées par les équipes d’OAK Research. Contrairement à la fonction de pause, protégée par un multisig à quatre signatures, la création monétaire dépendait d’une simple adresse classique (EOA). Ce déséquilibre a permis au hacker de manipuler la fonction « completeSwap() », laquelle ne contenait aucun garde-fou on-chain. Sans vérification du ratio entre le dépôt et l’émission, l’attaquant a injecté 300 000 USDC pour générer 80 millions d’USR, un ratio de 266 pour 1 qui a immédiatement rompu l’adossement de l’actif.
Une fois ces jetons créés, l’« exploiteur » a provoqué l’effondrement du cours de l’USR, qui est tombé à 0,025 dollar sur les marchés secondaires. Pour extraire la valeur, il a ensuite utilisé les protocoles Morpho et Fluid, exploitant des oracles dont le prix était figé à 1 dollar malgré la chute réelle. Cette faille a permis de déposer du collatéral déprécié pour emprunter des actifs sains. En utilisant une technique dite de « Donation Attack », l’attaquant a injecté de force de la liquidité dans les marchés Morpho pour augmenter ses gains, contournant même les limites de dépôt (supply caps) que les gestionnaires de risques avaient tenté de ramener à zéro en urgence.
L’incident de Resolv agit comme un révélateur des limites du modèle des curateurs en finance on-chain. Ces acteurs, tels que Gauntlet ou Steakhouse Financial, vendent une promesse de surveillance et de sélection rigoureuse des marchés. Pourtant, Steakhouse avait publié une évaluation positive de la « rigueur institutionnelle » de Resolv seulement cinq jours avant le hack.
La responsabilité des curateurs et l’effet de cascade
Cette déconnexion entre l’analyse de risque et la réalité opérationnelle — notamment l’usage d’une clé privée unique pour le mint — interroge sur la profondeur des audits réellement effectués par ces gestionnaires de vaults. La propagation du risque a impacté de nombreux protocoles intégrés à l’écosystème USR. Morpho enregistre environ 6,2 millions de dollars de créances douteuses (bad debt), dont 96 % concentrés sur les vaults gérés par Gauntlet.
De son côté, Fluid affiche une exposition potentielle de 11 millions de dollars, couverte par la suite par l’équipe et des investisseurs. À l’inverse, Inverse Finance a démontré une réactivité notable en mettant en pause ses marchés en 15 minutes, limitant ses pertes à 340 000 dollars. Ces disparités de performance montrent que la professionnalisation des curateurs reste inégale face à des crises de liquidité instantanées.
L’affaire Resolv souligne enfin que le métier de curateur ne peut plus se limiter à une sélection initiale d’actifs. Elle impose désormais une surveillance continue, des coupe-circuits automatiques et une transparence totale sur les dépendances techniques des protocoles listés. La crédibilité de la finance décentralisée dépendra de la capacité de ces intermédiaires à transformer leur promesse de sécurité en une réalité opérationnelle capable de résister à la compromission d’une entité centrale.
L’issue de cet ultimatum déterminera si Resolv Labs parvient à recouvrer sa trésorerie ou s’il devra engager une restructuration profonde de ses réserves. Au-delà du préjudice financier, cet incident souligne la fragilité des protocoles face à une gestion centralisée des droits d’émission et l’incapacité de certains curateurs à réagir en temps réel. La restauration de la confiance dépendra désormais d’une transparence totale et de l’intégration de garde-fous algorithmiques, car la technologie ne peut pallier durablement les failles d’une gouvernance humaine défaillante.
Le Journal Du Coin
Un article de la rédaction. Le Journal du Coin, premier média d’actualités francophone sur la cryptomonnaie, Bitcoin, et les protocoles blockchain.
