Esta mañana, el stablecoin $USR de @ResolvLabs fue explotado a través de un atacante que acuñó ~80 millones de tokens no respaldados con solo ~$100-200K USDC. La explotación de USR de Resolv Labs aprovechó una falla crítica en el proceso de acuñación de dos pasos (requestSwap seguido de completeSwap), donde el atacante depositó ~$100–200K USDC pero eludió las verificaciones de validación—probablemente debido a un SERVICE_ROLE comprometido o inseguro controlado por una única dirección de propiedad externa (EOA) en lugar de un multisig, combinado con la falta de límites de cantidad en la cadena, la aplicación de minExpectedAmount, o guardias de precio de oráculo—lo que permitió la acuñación de ~80 millones de tokens USR no respaldados a una relación extrema de 500:1. El atacante luego vertió estos tokens en los pools de liquidez (principalmente el USR/USDC de @CurveFinance), convirtiendo los ingresos en activos reales como ETH y extrayendo ~$23–25 millones en ganancias, mientras que el pool de colateral subyacente del protocolo permaneció completamente intacto y no se drenaron activos centrales, causando que el token USR se despegara. La explotación de USR de Resolv Labs desencadenó una contagión secundaria significativa en los mercados de préstamos, donde protocolos como @Morpho (a través de múltiples vaults de curadores como @gauntlet_xyz y otros), @0xfluid, @lista_dao, @eulerfinance, y @InverseFinance habían aceptado USR, wstUSR, o RLP como colateral asumiendo un peg cercano a $1, lo que llevó a estimaciones de deuda incobrable que oscilan desde cientos de miles (por ejemplo, ~$340K en el mercado wstUSR-DOLA de Inverse) hasta millones (por ejemplo, ~$11M+ potencial en Fluid y varios millones en los vaults de Morpho) a medida que el despegue causó posiciones subcolateralizadas y liquidaciones forzadas o salidas. La lección clave en este evento, que no es la primera vez que se aprende en cripto, es que hay un gran riesgo desconocido al interactuar con estos protocolos, así que como alguien que los usa, necesitas tener en cuenta este riesgo en tu decisión, y cuando ocurre una explotación, hay un gran radio de explosión y cualquier producto que dependa de un token explotado puede ponerte en una posición de perder fondos.