Un importante ciberataque ha sacudido el mercado de 
criptomonedas, enviando ondas de choque a través de las finanzas descentralizadas mientras la stablecoin USR de Resolv Labs perdió su paridad con el dólar. El incidente destacó vulnerabilidades significativas en los protocolos DeFi, subrayando que incluso después de estrictas auditorías, estos sistemas pueden seguir siendo susceptibles a la explotación.
Cómo se Desarrolló el Ataque
USR, desarrollada por Resolv Labs, un nombre emergente en proyectos de finanzas descentralizadas, vio su valor desplomarse tras una sofisticada violación. Los datos de la blockchain revelan que el atacante inició el exploit depositando aproximadamente $200,000 en USDC, preparando el terreno para una manipulación mucho mayor. Con esta modesta inversión, el perpetrador logró acuñar 80 millones de tokens USR, creando nuevas monedas sin suficiente colateral para respaldarlas dentro del protocolo.
La investigación apunta a una falla fundamental en las operaciones de acuñación de tokens. Brechas de seguridad en las funciones “requestSwap” y “completeSwap” permitieron al atacante eludir salvaguardas críticas y explotar límites abiertos en el protocolo para su beneficio personal.
El equipo de Resolv Labs anunció que, tras la violación, suspendieron inmediatamente todas las operaciones y comenzaron a trabajar en reparaciones.
La Estrategia que Socavó el Sistema y Provocó una Crisis de Precios
En lugar de descargar directamente el gran volumen de tokens USR en el mercado, el atacante los convirtió en una versión apostada llamada “wstUSR”, que funciona de manera diferente dentro de los pools de liquidez. Al adoptar este enfoque, el perpetrador distribuyó los tokens en varias plataformas, introduciéndolos de maneras que desestabilizaron gradualmente la liquidez disponible.
Posteriormente, el atacante intercambió estos activos por otras stablecoins y Ethereum, acumulando un botín estimado en 11,400 Ethereum y alrededor de 20 millones de wstUSR. El mercado pronto sintió el impacto: La liquidez reducida, junto con las agresivas ventas de 
tokens, provocó que el precio del USR se desplomara casi un 80 por ciento, cayendo a aproximadamente $0.05. La dramática caída sacudió profundamente la confianza de los usuarios y sembró dudas sobre la estabilidad del sistema.
Las Auditorías No Detectaron Vulnerabilidades Clave
Ha surgido que Resolv Labs fue sometido a 18 auditorías separadas antes del ataque y que sus contratos inteligentes fueron sometidos a numerosas verificaciones de seguridad. Una auditoría de diciembre de 2024 señaló cinco problemas diferentes, incluido un fallo crítico en la función de cálculo de tarifas. Además, las auditorías detectaron la ausencia de controles de límites superiores en ciertas características, aunque no se señalaron riesgos de seguridad en las funciones administrativas principales directamente involucradas en el ataque.
Los analistas enfatizaron que, con demasiada frecuencia, las funciones privilegiadas de administración escapan de un escrutinio completo durante las auditorías y que los vacíos en los mecanismos de control central pueden pasar desapercibidos.
Los expertos en seguridad explican que la mayoría de los procesos de auditoría se centran en la precisión del código, pero no logran evaluar los riesgos sistémicos que plantean los permisos centralizados. Señalan que dichas brechas se pasan por alto con frecuencia, dejando la puerta abierta para este tipo de explotación sofisticada.
Las Reservas Permanecen Intactas Mientras se Aumenta la Incertidumbre
Tras los hechos, el protocolo de Resolv Labs permanece completamente congelado. Evaluaciones iniciales sugieren que los fondos de los usuarios asegurados en los pools de reserva del protocolo no han sido comprometidos. Aunque el suministro del USR fue manipulado durante el ataque, los activos mantenidos en reserva parecen, por ahora, no haberse visto afectados.
No obstante, la pronunciada caída en el valor del USR y las crecientes preocupaciones sobre la confianza han alimentado una nueva crisis para Resolv Labs. Todas las miradas están puestas en cómo el equipo navegará por estas aguas turbulentas y restaurará tanto la normalidad operativa como la confianza del usuario.
