Le stablecoin USR de Resolv victime d’une faille majeure
Tôt dimanche matin, une faille de sécurité ciblant le protocole Resolv a secoué le marché de la DeFi. Plusieurs sociétés spécialisées en sécurité blockchain ont confirmé que l’attaquant avait exploité une vulnérabilité dans le contrat de mint du stablecoin USR, générant près de 80 millions de tokens USR non adossés et retirant environ 25 millions de dollars d’actifs du marché.
L’attaque a eu lieu vers 02h21 UTC et a été détectée pour la première fois par le compte de surveillance on-chain YieldsAndMore, qui a repéré des transactions anormales.
Détails de l’attaque : petits dépôts, émission massive de tokens
Les données on-chain montrent que l’attaquant a initialement déposé 100 000 USDC dans le contrat USR Counter de Resolv. En théorie, ce dépôt aurait dû générer un montant équivalent en USR.
Cependant, le résultat a révélé une anomalie majeure :
- La première transaction a généré environ 50 millions d’USR
- La seconde a émis 30 millions d’USR supplémentaires
La quantité totale émise représentait près de 500 fois la valeur attendue.
Chute brutale du cours de l’USR
USR est un stablecoin indexé sur le dollar américain, mais qui s’appuie, non pas sur des réserves fiduciaires, mais sur un portefeuille combinant ETH et BTC avec une stratégie de couverture delta-neutre. Lorsqu’un volume important de tokens non adossés a été émis, le prix du marché a rapidement perdu le contrôle.
Les réactions du marché incluent :
- Sur le pool de liquidité Curve Finance
- Le prix est tombé à 0,025 $ en 17 minutes
(Source : DEXSCREENER)
Même si le prix a brièvement rebondi à environ 0,85 $, il n’a pas retrouvé son ancrage à 1 $.
Mouvements de fonds de l’attaquant
L’adresse de l’attaquant, commençant par 0x04A2, a réalisé une série d’opérations d’arbitrage :
- Échange des USR émis contre des USDC et USDT
- Revente de ces actifs sur plusieurs exchanges décentralisés
- Conversion finale des fonds en ETH
Les données on-chain indiquent :
- Le portefeuille principal détient 11 409 ETH
- Pour une valeur d’environ 23,7 millions de dollars
Une autre adresse détient encore environ 1,1 million de dollars en wstUSR.
Réaction de Resolv : les actifs collatéraux restent intacts
Après la révélation de l’incident, Resolv Labs a indiqué sur les réseaux sociaux :
- Toutes les fonctions du protocole ont été suspendues
- Le pool d’actifs collatéraux demeure intact
- Le problème est limité au processus de mint de l’USR
(Source : ResolvLabs)
Des analystes notent que, même si les actifs collatéraux n’ont pas été directement volés, les pertes sur le marché restent importantes.
Mécanismes d’autorisation et de vérification insuffisants
L’analyste on-chain Andrew Hong a identifié le cœur du problème : le compte à permission SERVICE_ROLE, qui traite les demandes de swap mais est contrôlé par un portefeuille EOA standard, au lieu d’un multisig.
Le contrat de mint présentait aussi plusieurs lacunes majeures :
- Absence de vérification du prix par un oracle
- Aucun plafond sur le montant émis
- Aucun contrôle des demandes ou montants de mint
La société d’investissement DeFi D2 Finance a identifié trois causes potentielles :
- Manipulation de l’oracle de prix
- Compromission du compte de signature hors ligne
- Absence d’un mécanisme de vérification des montants émis
(Source : D2_Finance)
Effets de contagion dans l’écosystème DeFi
L’effondrement de l’USR a impacté non seulement les détenteurs de tokens, mais aussi le marché du prêt DeFi. USR et sa version stakée, wstUSR, étaient utilisés comme collatéral sur des plateformes telles que Morpho et Gauntlet.
Certains traders ont profité de la chute du prix de l’USR sous 1 $ :
- Achat d’USR à prix réduit
- Utilisation comme collatéral valorisé à 1 $ par le système
- Emprunt d’USDC
Ce mécanisme pourrait rapidement assécher la liquidité des pools de prêt.
Pool d’assurance et couche de liquidité également exposés
Le mécanisme de protection de liquidité de Resolv, le Resolv Liquidity Pool (RLP), est conçu pour absorber les pertes et protéger l’USR. Avant l’attaque, la valeur circulante du RLP était d’environ 38,6 millions de dollars, avec pour principal détenteur le protocole de rendement Stream Finance. Stream Finance avait déjà subi une perte de 93 millions de dollars suite à une appropriation indue d’actifs en 2025 et fait désormais face à un risque renouvelé.
Pression réglementaire accrue
Cet incident intervient alors que le Congrès américain débat de la régulation des stablecoins, notamment du GENIUS Act, qui vise à encadrer les stablecoins générant du rendement. L’American Bankers Association a averti que de tels produits pourraient détourner les dépôts des banques traditionnelles.
Conclusion
L’incident Resolv USR illustre que les risques liés aux stablecoins ne proviennent pas uniquement des actifs collatéraux, mais aussi de failles dans la conception des contrats et la gestion des permissions. Même lorsque les actifs sous-jacents restent intacts, une émission non contrôlée et une perte de confiance du marché peuvent entraîner d’importantes pertes. À mesure que le marché DeFi se développe, la mise en place de mécanismes robustes de surveillance, de gestion des permissions et de contrôle des risques sera essentielle à l’évolution des stablecoins et de la finance on-chain.
