Gli exploit DeFi nel 2026 finora hanno già raggiunto i 137 milioni di dollari, e siamo solo a marzo. La classifica è brutale: • @StepFinance_: 27,3 milioni di dollari • @Truebitprotocol: 26,2 milioni di dollari • @ResolvLabs: 25 milioni di dollari (Ieri) ​ È raro nella storia del DeFi vedere un deposito di 100k trasformarsi in una mint di stablecoin da 80 milioni di dollari in pochi secondi. Questo mi ricorda la tesi di @a16zcrypto "Spec è Legge" all'inizio del 2026. Ecco un'analisi completa di cosa è andato storto e perché la tesi di a16z non è mai stata così rilevante 🧵👇

1/ Il difetto segreto di Resolv Il stablecoin delta-neutrale di @ResolvLabs (USR) utilizzava un flusso di minting ibrido on-chain/off-chain: depositi/riscatti on-chain, prezzi di @PythNetwork verificati off-chain. Un singolo SERVICE_ROLE EOA (non un multisig) finalizzava i mint, creando un punto critico di fallimento.

2/ Come è avvenuta l'estrazione da 25 milioni di dollari Non si tratta di un bug del contratto. Intorno alle 2:21 AM UTC del 22 marzo, un attaccante ha compromesso la chiave SERVICE_ROLE e ha eluso la verifica. - Normale: L'utente deposita 100k USDC → SERVICE_ROLE controlla l'oracolo → 100k USR coniati. - Sfruttamento: L'attaccante deposita 100k USDC → oracolo eluso → 80M USR coniati in due chiamate. - Nessun limite on-chain, controlli del rapporto o limiti di fornitura lo hanno fermato. L'attaccante ha avvolto e scaricato l'USR non garantito su @CurveFinance e @Uniswap, portando l'USR a scendere fino a $0.025. Ha scambiato i proventi per ~11.400+ ETH (~$23–$25M). Il spillover DeFi ha colpito i protocolli che utilizzano USR/wstUSR come collaterale (Morpho, Fluid, Aave), innescando debiti cattivi, liquidazioni e congelamenti di mercato per contenere il contagio.