Resolv : comment une clé compromise a fait chuter le token USR de 80 %

Resolv : comment une clé compromise a fait chuter le token USR de 80 %
Demandez à UNE IA DE RÉSUMER CET ARTICLE

Une clé compromise a permis de frapper 80M de tokens USR sans collatéral, faisant chuter le stablecoin de 80 %. L'exploit à 25M$ révèle des failles critiques de sécurité dans l'architecture DeFi.

Vous avez atteint votre limite de 2 articles gratuits ce mois-ci

La recherche que vos pairs exploitent déjà

The Big Whale donne aux institutions financières la market intelligence, le réseau, et la plateforme pour naviguer avec confiance dans les actifs numériques.
Choisi par plus de 150 institutions financières.

Le dimanche 22 mars, le stablecoin USR, émis par le protocole Resolv, a perdu son ancrage au dollar après qu'un attaquant a exploité une clé privée compromise pour frapper environ 80 millions de tokens contre un dépôt de collatéral dérisoire.

L'incident a entraîné l'extraction estimée à 25 millions de dollars et déclenché des effets en cascade sur plusieurs plateformes DeFi, contraignant Resolv à suspendre ses opérations.

Le périmètre de l'attaque

Le mécanisme utilisé n'est pas, à proprement parler, un hack au sens conventionnel du terme : aucune réserve de collatéral n'a été saisie. L'attaquant a obtenu l'accès à une clé de signature privilégiée stockée dans l'environnement AWS Key Management Service du protocole.

Muni de cette accréditation, il a soumis deux transactions de minting : d'abord 50 millions d'USR contre environ 100 000 USDC, puis 30 millions d'USR supplémentaires. Les tokens ainsi frappés, sans collatéral réel, ont ensuite été déversés dans les pools de liquidité des exchanges décentralisés (notamment la paire USR/USDC de Curve) afin d'en extraire de la valeur effective.

Le trajet de l'attaquant a suivi ce chemin : USR minté, converti en wstUSR (un dérivé staké de l'USR), puis en stablecoins, et finalement en ETH, pour un total de 11 400 coins représentant environ 24,4 millions de dollars et 20 millions de wstUSR.

L'USR s'est brièvement effondré aux alentours de 0,20 dollar avant de se stabiliser vers 0,26 dollar, soit un écart de près de 80 % par rapport à son ancrage théorique.

Ce qui rend cet épisode particulièrement instructif n'est pas tant la compromission de clé en elle-même (qui relève d'une catégorie bien connue de défaillances en matière de sécurité opérationnelle) que l'absence de garde-fous élémentaires dans l'architecture des smart contracts.

La fonction de minting n'imposait aucun plafond par transaction ni par fenêtre temporelle. Elle ne validait pas le ratio entre le collatéral déposé et les tokens émis. Elle ne référençait aucun oracle de prix. En somme, une fois la clé privilégiée en main, le protocole n'offrait aucune seconde ligne de défense.

>> Découvrez notre tableau de bord stablecoins

Les dégâts

La contagion s'est propagée à la vitesse caractéristique de la DeFi.

Le pool de Curve a été vidé, faisant chuter le token CRV de près de 5 %. Sur Morpho, où l'USR servait d'actif sous-jacent dans plusieurs vaults de prêt, les dommages ont été plus structurels : le vault USDC Frontier de Gauntlet a enregistré 85,66 millions de dollars de retraits, son vault Core 17 millions supplémentaires, et plus de dix vaults au total ont été affectés sur la plateforme.

Des expositions ont également été constatées sur Euler et sur plusieurs produits Midas, dont mBASIS, mAPOLLO et mEDGE. Le token de Morpho a perdu environ 5 % avant de récupérer. L'équipe Resolv a précisé que les réserves de collatéral sous-jacentes n'ont pas été compromises.

>> MEV Capital : anatomie d’une chute et reprise en main par Belem Capital

L'analyse de The Big Whale

La vitesse de contagion reste le principal facteur différenciant la finance décentralisée de la finance traditionnelle : dans les marchés conventionnels, une transmission de risque comparable se déroule généralement sur plusieurs jours, laissant aux intermédiaires le temps de se couvrir, de communiquer et d'intervenir.

Ici, la réaction en chaîne s'est déroulée en quelques heures.

Plus fondamentalement, cet incident illustre pourquoi le déploiement de capitaux institutionnels dans des protocoles décentralisés continue d'avancer prudemment.

La vulnérabilité exploitée n'avait rien d'exotique. Le contrôle par clé unique de fonctions critiques, l'absence de plafonds de minting et le défaut de validation par oracle sont des vecteurs de défaillance connus, largement documentés dans la littérature d'audit.

Qu'ils persistent dans un protocole gérant des capitaux significatifs révèle un manque non pas technologique, mais de standards de gouvernance sécuritaire que le secteur n'a pas encore formalisés.

Tant que ces standards n'existent pas et ne font pas l'objet d'un contrôle indépendant, des épisodes de ce type continueront de repousser l'échéance d'une adoption institutionnelle pleine et entière des rails DeFi, et cela quels que soient le sérieux des curators de vaults ou la rigueur des allocataires d'actifs.

Format
Analyses
Aleksandar Bukovski

Aleksandar Bukovski est Lead Analyst chez The Big Whale, où il est spécialisé dans la finance décentralisée et les crypto-actifs. Ses publications chez The Big Whale couvrent notamment les stablecoins, la finance tokenisée, les protocoles DeFi, le minage de Bitcoin et l’adoption institutionnelle des actifs numériques. Il anime également le Market Call, un format récurrent d’analyse de marché produit par The Big Whale.

Avant de rejoindre The Big Whale en février 2025, Bukovski a passé cinq mois comme Research Analyst chez The Block, une société de services d’information spécialisée dans la crypto, où il indiquait se concentrer sur la tokenisation. Il est titulaire d’un diplôme d’ingénieur en finance et gestion financière ainsi que d’un master en gestion des investissements, tous deux obtenus à la Faculté des sciences techniques de l’Université de Novi Sad, en Serbie.

See all articles ↗
Abonnez-vous à The Drop
Le briefing hebdomadaire de référence sur les actifs numériques pour les institutions financières : analyses indépendantes, rapports, benchmarks et événements exclusifs, directement dans votre boîte mail.
Lu par 30 000 professionnels
12-13 novembre 2026

The Geneva Summit

Le Corporate Gateway : là où l'avenir de la finance onchain se décide.
300 décideurs triés sur le volet.
300
Décideurs
2 jours
Programme complet