Esta mañana la stablecoin de $USR @ResolvLabs fue explotada por un atacante que acuñó tokens sin respaldo de ~80 millones con solo ~$100-200K USDC. El exploit USR de Resolv Labs explotó un fallo crítico en el proceso de acuñación en dos pasos (requestSwap seguido de completeSwap), donde el atacante depositó ~$100–200K USDC pero eludió las comprobaciones de validación—probablemente debido a un SERVICE_ROLE comprometido o inseguro controlado por una única dirección externa (EOA) en lugar de una multifirma, combinado con la ausencia de límites de cantidad en la cadena, Aplicación minExpectedAmount, o guardias de precio oracle—que permiten acuñar ~80 millones de tokens USR sin respaldo con una proporción extrema de 500:1. El atacante luego vertió estos tokens en pools de liquidez (principalmente USR/USDC de @CurveFinance), convirtiendo los ingresos en activos reales como ETH y extrayendo ~$23–25 millones de beneficios, mientras que el pool de colateral subyacente del protocolo permaneció completamente intacto y no se drenaron activos principales, provocando que el token USR se desvinculara. El exploit USR de Resolv Labs desencadenó un contagio secundario significativo en los mercados de préstamos, donde protocolos como @Morpho (a través de múltiples bóvedas de curadores como @gauntlet_xyz y otros), @0xfluid, @lista_dao, @eulerfinance y @InverseFinance aceptaron como garantía USR, wstUSR o RLP asumiendo un vínculo cercano a 1 $, lo que llevó a estimaciones de deuda incobrables que iban desde cientos de miles (por ejemplo, ~340.000 dólares en el mercado wstUSR-DOLA de Inverse) a millones (por ejemplo, ~11 millones + de potencial en Fluid y varios millones en las bóvedas de Morpho), ya que la desvinculación causaba posiciones subgarantizadas y forzó liquidaciones o salidas. La lección clave en este evento, que no es la primera vez que se aprende en cripto, es que hay mucho riesgo desconocido al interactuar con estos protocolos, así que, como alguien que los usa, debes valorar este riesgo en tu decisión, y cuando ocurre un exploit hay un gran radio de explosión y cualquier producto que dependa de un token explotado puede ponerte en posición de perder fondos.