La resolución de las pérdidas de 25 millones de dólares: un análisis del ataque contra el sistema de monedas de los 80 millones de usuarios en Estados Unidos.

La secuencia central del ataque era un ataque de tipo “pure flow”. El atacante utilizó una clave comprometida fuera de la cadena para crear las cifras necesarias para el ataque.Alrededor de 80 millones de tokens USR.El valor aproximado de este token es de unos 80 millones de dólares en términos nominales. El contrato inteligente del protocolo, que confía en un servicio fuera de la cadena, realizó la emisión del token sin validar el ratio de garantías necesario. Esta repentina aumento en la cantidad de tokens a disposición causó que el precio de USR cayera de 1,00 dólares a tan solo 0,20 dólares.

El mecanismo que fallaba era una falta de diseño en términos de confianza. Los usuarios depositan USDC y solicitan la emisión de tokens. Pero la cantidad de tokens que se van a emitir está determinada por un servicio que funciona fuera de la cadena de bloques, y ese servicio está controlado por una clave privilegiada. El contrato en sí…No se realizó ningún tipo de validación de la relación de precios.Se verificó si existía una firma válida entre el token depositado y el USR cunado fue acuñado. En resumen, se comprobó únicamente que existía una firma válida; por lo tanto, se trata de un ejecutor “ciego”.

Esto creó una vía directa para la creación de tokens a partir de una pequeña cantidad de dinero en efectivo. El atacante depositó alrededor de $100,000-$200,000 en USDC y utilizó la clave robada para autorizar la creación de dos tokens, por un total de 50 millones y 30 millones de USR. El código del protocolo funcionó como se pretendía, pero el diseño del sistema tenía defectos graves. Esto permitió que el atacante obtuviera aproximadamente $25 millones en ETH, al inundar el mercado con una cantidad de tokens no respaldados por nada.

La extracción: de la menta al éter

La ruta que siguió el atacante era una estrategia típica de tipo “cash-out”. Después de obtener los 80 millones de USR, rápidamente los convirtieron en…Una versión con estacas, wstUSREste paso probablemente proporcionó una posición rentable, además de un camino más sencillo hacia otros protocolos. A partir de allí, el flujo de datos se convirtió en una extracción directa: las fichas se intercambiaron por otras stablecoins, y luego se transfirieron a Ethereum.

El valor obtenido fue considerable y irreversible. Los datos de Onchain muestran que el atacante se llevó consigo todo ese valor.En total, aproximadamente 23 millones de dólares en Ether.Otra análisis indicó que la extracción total de recursos ascendió a aproximadamente 25 millones de dólares. Esto representa una salida permanente y directa de liquidez del ecosistema del protocolo, lo cual reduce su confianza y capacidad de operar adecuadamente.

La velocidad y la escala del intercambio confirman que se trata de una operación coordinada por parte del atacante. El atacante movió las fichas ilícitas a través de varios protocolos de liquidez, priorizando las ventas en grandes cantidades para minimizar los retrasos en la transferencia de fondos. Esta rápida conversión de fichas sin respaldo en ETH es la prueba más clara del impacto financiero que tuvo este ataque.

Las consecuencias: liquidez, garantías y deuda incobrable

El ataque dejó a Resolv con una grave deficiencia en el capital de garantía. Antes del ataque, el protocolo ya estaba subgarantizado, es decir, contaba con menos capital de garantía del necesario.95 millones de dólares en activos, que respaldan unos 173 millones de dólares en ingresos.Ese es un ratio de colateralización de aproximadamente el 55%. Los 80 millones de dólares en tokens no colateralizados, creados durante el ataque, convirtieron esa situación precaria en un verdadero problema de insolvencia.

La opinión del mercado es clara y cruel. El precio de USR ha caído a cerca de 27 centavos, lo que representa una disminución del 73% en comparación con el precio original. Este descenso no es un problema temporal; se trata de una situación crítica en el mercado, que refleja una pérdida total de confianza por parte de los usuarios. El plan de recuperación propuesto por el protocolo ofrece una esperanza: si quienes poseían las monedas antes del incidente las rescatan primero, podrían recuperar aproximadamente 93 centavos por cada dólar. Para todos los demás, el valor de las monedas es prácticamente nulo.

El daño causado va mucho más allá del balance general de Resolv. Esta explotación ha generado una nueva fuente de deudas incobrables en el ámbito DeFi. Los protocolos que utilizaban USR como garantía, como es el caso de ciertos pools de Morpho, ahora enfrentan el riesgo de incumplimiento, ya que el valor del activo subyacente se reduce drásticamente. Esto crea un riesgo de contagio: la falla de un mercado de préstamos podría provocar liquidaciones y pérdidas adicionales en otros protocolos interconectados.