O protocolo DeFi Resolv sofreu um dos maiores hacks de stablecoin do ano. Um invasor comprometeu a infraestrutura de nuvem do projeto na AWS, obteve acesso à chave privada de assinatura e mintou aproximadamente 80 milhões de tokens USR sem lastro — extraindo cerca de US$ 25 milhões em ETH do protocolo.
O ataque aconteceu por volta das 2h21 UTC do último domingo (22). Em menos de 17 minutos, a stablecoin USR — que deveria valer US$ 1 — despencou para US$ 0,025 no pool mais líquido do Curve Finance. Na manhã desta segunda-feira, o token era negociado a US$ 0,27, uma queda de 72% na semana.
Como o ataque aconteceu
O sistema de mintagem do Resolv funciona em duas etapas: o usuário deposita USDC e solicita a criação de USR, e um serviço off-chain — controlado por uma chave privilegiada chamada SERVICE_ROLE — autoriza a quantidade a ser mintada.
O problema é que o contrato inteligente não possuía nenhum limite máximo de mintagem. Ele apenas verificava se a assinatura era válida, sem checar a proporção entre o depósito e os tokens criados. Também não havia oráculo de preço, validação de valor ou teto de emissão.
O invasor depositou cerca de US$ 100 mil em USDC e recebeu 50 milhões de USR em troca — aproximadamente 500 vezes o valor esperado. Uma segunda transação mintou mais 30 milhões de USR.
Após a mintagem, o atacante converteu os tokens em USDC e USDT em exchanges descentralizadas, transformou tudo em ETH e agora mantém 11.409 ETH (cerca de US$ 23,7 milhões) em uma carteira, além de US$ 1,1 milhão em USR stakado em outra.
https://x.com/ResolvLabs/status/2035830314799599616
Falha estrutural, não apenas uma chave comprometida
Embora a equipe do Resolv tenha descrito o incidente como “chave privada comprometida” e “ataque à infraestrutura”, analistas on-chain identificaram que o problema era estrutural. A SERVICE_ROLE era controlada por uma única conta externamente possuída (EOA), sem multisig.
“Para a maioria dos contratos inteligentes, essa configuração não é incomum. Há uma chave com autoridade sobre funções específicas — neste caso, mintagem — e isso frequentemente é negligenciado”, explicou Ido Sofer, fundador da Sodot, empresa de gerenciamento de chaves cripto, ao CoinDesk. “Esse ponto único de falha é um alvo atraente para ameaças internas e externas.”
Protocolo tecnicamente insolvente
Os números não mentem: o Resolv agora detém US$ 95 milhões em ativos contra US$ 173 milhões em passivos, tornando o protocolo funcionalmente insolvente. O TVL (valor total bloqueado) do projeto havia atingido o pico de US$ 684 milhões em fevereiro de 2025, mas já vinha em declínio constante antes do exploit.
A equipe do Resolv disse estar trabalhando com autoridades policiais e empresas de análise on-chain para tentar recuperar os fundos. O protocolo foi pausado e a equipe desaconselhou fortemente qualquer negociação de USR enquanto as medidas de recuperação estiverem sendo implementadas.
Lição para o mercado DeFi
O hack do Resolv reforça uma tendência crescente: atacantes estão mirando cada vez mais nas chaves e credenciais sensíveis que não guardam fundos diretamente, mas podem ser usadas para acessá-los. Chaves de deploy, credenciais de API de trading e outras permissões privilegiadas se tornaram o “ponto cego” das equipes de segurança.
Para o investidor, o recado é claro: auditar o contrato não basta. É preciso entender como a infraestrutura off-chain do protocolo funciona, quem controla as chaves de assinatura e se existem mecanismos de proteção como multisig e limites on-chain.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
