Le dimanche 22 mars, le stablecoin USR, émis par le protocole Resolv, a perdu son ancrage au dollar après qu'un attaquant a exploité une clé privée compromise pour frapper environ 80 millions de tokens contre un dépôt de collatéral dérisoire.
L'incident a entraîné l'extraction estimée à 25 millions de dollars et déclenché des effets en cascade sur plusieurs plateformes DeFi, contraignant Resolv à suspendre ses opérations.
Le périmètre de l'attaque
Le mécanisme utilisé n'est pas, à proprement parler, un hack au sens conventionnel du terme : aucune réserve de collatéral n'a été saisie. L'attaquant a obtenu l'accès à une clé de signature privilégiée stockée dans l'environnement AWS Key Management Service du protocole.
Muni de cette accréditation, il a soumis deux transactions de minting : d'abord 50 millions d'USR contre environ 100 000 USDC, puis 30 millions d'USR supplémentaires. Les tokens ainsi frappés, sans collatéral réel, ont ensuite été déversés dans les pools de liquidité des exchanges décentralisés (notamment la paire USR/USDC de Curve) afin d'en extraire de la valeur effective.
Le trajet de l'attaquant a suivi ce chemin : USR minté, converti en wstUSR (un dérivé staké de l'USR), puis en stablecoins, et finalement en ETH, pour un total de 11 400 coins représentant environ 24,4 millions de dollars et 20 millions de wstUSR.
L'USR s'est brièvement effondré aux alentours de 0,20 dollar avant de se stabiliser vers 0,26 dollar, soit un écart de près de 80 % par rapport à son ancrage théorique.
Ce qui rend cet épisode particulièrement instructif n'est pas tant la compromission de clé en elle-même (qui relève d'une catégorie bien connue de défaillances en matière de sécurité opérationnelle) que l'absence de garde-fous élémentaires dans l'architecture des smart contracts.
La fonction de minting n'imposait aucun plafond par transaction ni par fenêtre temporelle. Elle ne validait pas le ratio entre le collatéral déposé et les tokens émis. Elle ne référençait aucun oracle de prix. En somme, une fois la clé privilégiée en main, le protocole n'offrait aucune seconde ligne de défense.
>> Découvrez notre tableau de bord stablecoins
Les dégâts
La contagion s'est propagée à la vitesse caractéristique de la DeFi.
Le pool de Curve a été vidé, faisant chuter le token CRV de près de 5 %. Sur Morpho, où l'USR servait d'actif sous-jacent dans plusieurs vaults de prêt, les dommages ont été plus structurels : le vault USDC Frontier de Gauntlet a enregistré 85,66 millions de dollars de retraits, son vault Core 17 millions supplémentaires, et plus de dix vaults au total ont été affectés sur la plateforme.
Des expositions ont également été constatées sur Euler et sur plusieurs produits Midas, dont mBASIS, mAPOLLO et mEDGE. Le token de Morpho a perdu environ 5 % avant de récupérer. L'équipe Resolv a précisé que les réserves de collatéral sous-jacentes n'ont pas été compromises.
>> MEV Capital : anatomie d’une chute et reprise en main par Belem Capital
L'analyse de The Big Whale
La vitesse de contagion reste le principal facteur différenciant la finance décentralisée de la finance traditionnelle : dans les marchés conventionnels, une transmission de risque comparable se déroule généralement sur plusieurs jours, laissant aux intermédiaires le temps de se couvrir, de communiquer et d'intervenir.
Ici, la réaction en chaîne s'est déroulée en quelques heures.
Plus fondamentalement, cet incident illustre pourquoi le déploiement de capitaux institutionnels dans des protocoles décentralisés continue d'avancer prudemment.
La vulnérabilité exploitée n'avait rien d'exotique. Le contrôle par clé unique de fonctions critiques, l'absence de plafonds de minting et le défaut de validation par oracle sont des vecteurs de défaillance connus, largement documentés dans la littérature d'audit.
Qu'ils persistent dans un protocole gérant des capitaux significatifs révèle un manque non pas technologique, mais de standards de gouvernance sécuritaire que le secteur n'a pas encore formalisés.
Tant que ces standards n'existent pas et ne font pas l'objet d'un contrôle indépendant, des épisodes de ce type continueront de repousser l'échéance d'une adoption institutionnelle pleine et entière des rails DeFi, et cela quels que soient le sérieux des curators de vaults ou la rigueur des allocataires d'actifs.







%201.png)






%201.png)
%201.png)


%201.png)



%201.png)


