Resolv rassicura: nessuna perdita di fondi dopo l’exploit della stablecoin USR

Resolv Labs ha cercato di rassicurare gli utenti dopo che una vulnerabilità ha colpito la meccanica di emissione della sua stablecoin USR, causando la perdita del peg al dollaro e costringendo vari protocolli di finanza decentralizzata a intervenire rapidamente per limitarne gli effetti.

L’attacco ha consentito la creazione di decine di milioni di token USR privi di copertura, immessi sul mercato attraverso pool DeFi e venduti in massa, con un impatto immediato sul prezzo. I dati di mercato hanno mostrato una caduta della valuta fino a circa 0,14 dollari (circa l’86% sotto il valore target di 1 dollaro), seguita da una parziale ripresa che ha portato il prezzo intorno a 0,42 dollari nel corso delle ore successive.

Il team di Resolv ha dichiarato:

“La riserva collateralizzata rimane completamente intatta.”

Il team di Resolv ha aggiunto:

“Il problema sembra circoscritto alla meccanica di emissione di USR.”

Secondo analisi on‑chain confermate da società di sicurezza Web3, l’attaccante ha convertito la maggior parte dei USR mintati in ETH, vendendo una parte consistente per un controvalore stimato di circa 11.400 ETH (intorno a 24 milioni di dollari). Al contempo, rimangono in circolazione decine di milioni di token che vengono progressivamente immessi sul mercato.

Analisti indipendenti hanno osservato:

“I restanti 36,74 milioni di USR stanno ancora venendo venduti in modo continuativo.”

Reazioni dei protocolli DeFi

I protocolli decentralizzati esposti a Resolv hanno reagito nel breve termine per valutare e contenere i danni. Il fornitore di staking liquidato Lido ha comunicato che i fondi degli utenti relativi al suo prodotto di rendimento erano al sicuro. Il cofondatore di Morpho ha sottolineato che i contratti del protocollo non risultavano compromessi e che l’esposizione riguardava solo alcune vault specifiche.

Aave ha riferito di non avere esposizione diretta a USR e che eventuali posizioni residue legate al protocollo oggetto dell’attacco venivano gestite con rimborsi o azioni correttive da parte di Resolv.

Altri progetti di prestito e leva hanno adottato misure precauzionali: alcuni mercati sono stati messi in pausa o determinate vault isolate per impedire la propagazione del timore di insolvenza. Tra le piattaforme che hanno preso provvedimenti figurano protocolli che integrano USR, wstUSR o RLP in strategie di prestito, leva o rendimento.

Portata dell’esposizione e impatto

Michael Pearl, vicepresidente go‑to‑market e strategia di una società di sicurezza Web3, ha evidenziato che l’impatto maggiore si è avuto sui mercati di prestito e nelle catene di leva, più che su un contagio sistemico. L’esposizione appare relativamente concentrata in protocolli che avevano integrato USR o strumenti collegati nelle loro strategie finanziarie.

Alcuni protocolli, come Euler, Venus, Lista e Fluid, hanno sospeso temporaneamente mercati o isolato vault per limitare la volatilità e capire l’entità dell’esposizione. Tali azioni mirano a prevenire effetti a catena e a proteggere gli utenti meno protetti dalle strategie a leva.

Charles Guillemet, responsabile tecnico di una nota società di wallet hardware, ha scritto:

“Dato il ridotto volume di USR, questo non è un evento del tipo Terra/Luna.”

Audit, monitoraggio e limiti di sicurezza

I contratti smart di Resolv avevano superato più audit nel corso del tempo, ma gli esperti ricordano che le verifiche formali sono per definizione statiche e dipendono dallo scope concordato. Questo lascia margini per errori operativi o compromissioni di chiavi private che non emergono da una sola revisione del codice.

Secondo diversi analisti, per ridurre il rischio in sistemi di stablecoin è fondamentale un monitoraggio in tempo reale delle operazioni di mint e burn, la validazione continua della corrispondenza tra offerta e riserve, e il controllo degli input degli oracle, dei prezzi e delle condizioni di liquidità. Soluzioni di sorveglianza basate su intelligenza artificiale potrebbero segnalare anomalie mentre si manifestano, integrando ma non sostituendo gli audit tradizionali.

Pashov, il team che aveva revisionato il modulo di staking di Resolv, ha commentato:

“Il design è solido; la causa principale non sembra essere il progetto in sé, quanto piuttosto la compromissione di una chiave privata.”

Questa valutazione fa emergere l’importanza della sicurezza operativa e della gestione delle chiavi: anche architetture ben concepite possono restare vulnerabili se i processi di custodia e accesso non sono rigorosi.

Conseguenze pratiche e raccomandazioni

Nel breve termine, la priorità per gli operatori DeFi è stata la contenimento delle posizioni a rischio, la verifica delle esposizioni e la comunicazione trasparente agli utenti. A medio termine, l’episodio solleva questioni su governance, standard di audit e misure operative minime per i progetti che emettono asset sintetici o stablecoin algoritmiche.

Per gli utenti e per gli sviluppatori implica la necessità di: implementare pratiche di gestione delle chiavi più rigide, adottare sistemi di monitoraggio in tempo reale per flussi di mint/burn e liquidità, e valutare l’uso di collateral meno correlati per ridurre il rischio di sincronizzazione degli shock di mercato.

Le autorità di vigilanza e gli interlocutori regolamentari potrebbero trarre spunto dall’accaduto per chiarire requisiti minimi di trasparenza e resilienza per gli emettitori di stablecoin, senza tuttavia ostacolare l’innovazione nel settore. Nel frattempo, la comunità DeFi continuerà a osservare le azioni correttive di Resolv Labs e le ricadute sui protocolli che avevano integrato USR nei loro meccanismi finanziari.