Resolv Labs: le stablecoin perdono il peg dopo un exploit

Una stablecoin collegata al progetto Resolv Labs ha perso il peg con il dollaro statunitense dopo che un aggressore è riuscito a sfruttare il contratto del token per coniare milioni di unità non garantite.

Resolv Labs ha dichiarato:

“Il team ha temporaneamente sospeso tutte le funzioni del protocollo per prevenire ulteriori azioni dannose e sta lavorando attivamente al recupero.”

Dettagli dell’exploit

I dati on-chain indicano che l’attaccante ha inizialmente coniato 50 milioni di Resolv USR (USR) dopo aver depositato circa 100.000 dollari in USDC. Successivamente, secondo le analisi di sicurezza, sono stati coibentati altri 30 milioni di token.

PeckShield ha rilevato che la funzione di mint è stata sfruttata per generare token non coperti, mentre D2 Finance ha osservato come il meccanismo del contratto risultasse difettoso o compromesso.

D2 Finance ha commentato:

“O l’oracolo è stato manipolato, o il firmatore off‑chain è stato compromesso, oppure manca la validazione degli importi tra la richiesta e la sua esecuzione.”

Corsa alla conversione e impatto sui prezzi

Dopo la coniazione, l’attaccante ha trasferito rapidamente grandi quantità di USR su più protocolli decentralizzati, scambiando i token in prima istanza per USDC e USDT e poi convertendo aggressivamente il ricavato in Ether (ETH).

D2 Finance ha sintetizzato l’operazione:

“Il playbook dell’uscita dell’attaccante è il classico cashout di un attacco DeFi, eseguito alla massima velocità.”

La pressione di vendita ha rapidamente eroso la liquidità e aumentato lo slippage: su alcune transazioni USR è arrivato a essere scambiato anche a 50 centesimi, mentre in una pool su Curve Finance è crollato fino a 2,5 centesimi prima di risalire. Le stime preliminari indicano che l’aggressore è riuscito a prelevare intorno ai 25 milioni di dollari dall’operazione.

Secondo i dati di mercato, USR è stato rilevato in seguito a quota circa 0,87 dollari, ossia vicino al 13% sotto il peg di 1 dollaro che il token intendeva mantenere, mentre la pool più liquida su Curve Finance aveva un volume 24 ore intorno a 3,6 milioni di dollari, come segnalato dalle piattaforme di monitoraggio on‑chain.

Contesto tecnico e implicazioni per la DeFi

Un pegging di stablecoin si mantiene attraverso riserve, meccanismi di garanzia e, spesso, oracoli che forniscono prezzi esterni. La possibilità di coniare token senza adeguate verifiche indica una falla nei controlli on‑chain o in elementi off‑chain come firmatari e servizi di oracolo.

Questo tipo di attacco mette in luce rischi strutturali della finanza decentralizzata: la centralizzazione di alcuni componenti (es. firmatari off‑chain), la complessità dei contratti smart e la dipendenza da liquidità esterna rendono i protocolli vulnerabili a manipolazioni e run sul mercato.

Sul piano regolamentare e di governance, incidenti come questo sollecitano richieste di maggiore trasparenza, auditing indipendenti dei contratti e procedure di gestione delle emergenze per limitare l’impatto sugli utenti e sui mercati più ampi.

Stato attuale e possibili contromisure

Resolv Labs ha sospeso le funzionalità del protocollo e dichiara di essere al lavoro su misure di recupero e analisi forense on‑chain. I passaggi tipici in questi casi includono il tracciamento dei flussi di fondi, il tentativo di collaborazione con exchange e pool di liquidità per bloccare movimenti sospetti e valutare possibili rimborsi agli utenti danneggiati.

Per ridurre il rischio di simili eventi in futuro, gli operatori di protocollo possono rafforzare i meccanismi di validazione delle mint, decentralizzare i firmatari, adottare oracoli più resilienti e sottoporre i contratti a revisioni di sicurezza periodiche e a programmi bug bounty attivi.

Gli utenti e gli investitori sono invitati alla prudenza: in presenza di segnali di instabilità o di grandi movimenti on‑chain è consigliabile limitare l’esposizione fino a quando non si avranno chiarimenti ufficiali e risultati delle indagini.