Soluciona la pérdida del exploit de Caps en 34 millones de dólares con una actualización del contrato para destruir los tokens del hacker

Resolv Labs ejecutó una actualización de contrato on-chain el 6 de abril de 2026 para quemar permanentemente 36,73 millones de tokens wstUSR y stUSR que estaban bajo el control de un atacante, limitando la pérdida neta estimada del protocolo por el exploit del 22 de marzo a aproximadamente $34 millones.

El atacante había usado una clave privada comprometida alojada en AWS para acuñar 80 millones de tokens USR no respaldados con solo $100.000 a $200.000 en garantía, intercambiando 34 millones de USR por 11.409 ETH (valorados en unos $24,5 millones) antes de que se agotara la liquidez, mientras que los tokens restantes fueron quemados mediante la actualización del protocolo.

Resolv usa una actualización de contrato para destruir los tokens del hacker

La transacción de actualización, confirmada on-chain, primero desenvuelvió el stUSR a USR antes de enviar ambos a la dirección cero, dejando los tokens irretrievables por cualquiera, incluido el hacker. Resolv había pausado previamente el protocolo y ofreció una recompensa del 10% para un defensor de buena fe, pero el hacker no mostró interés en una resolución pacífica, lo que llevó al equipo a ejercer su autoridad de actualización para destruir los tokens restantes.

El exploit ocurrió el 22 de marzo de 2026, cuando un atacante usó una única clave privada alojada en AWS comprometida que controlaba el SERVICE_ROLE para aprobar dos acuñaciones grandes. El protocolo emitió 80 millones de tokens USR no respaldados a pesar de que el atacante depositó solo $100.000 a $200.000 en USDC como garantía. El hacker intercambió rápidamente 34 millones de USR por 11.409 ETH, aproximadamente $24,5 millones en ese momento, antes de que se gastara la liquidez. Los tokens restantes permanecieron inactivos en las carteras del explotador, en su mayoría envueltos como wstUSR.

El despegue resultante de las acciones del hacker hizo que USR cayera hasta $0,025 en Curve. La actualización del contrato de Resolv ha sido criticada en el pasado como un riesgo de centralización, similar a los mecanismos que consideraron otros proyectos como Flow, pero la maniobra consiguió limitar las pérdidas totales estimadas del protocolo a unos $34 millones.

Los protocolos DeFi sufren el efecto dominó del exploit de Resolv

Los protocolos DeFi con exposición a las bóvedas de Resolv quedaron atrapados en el efecto dominó. Las bóvedas de Morpho absorbieron millones en deuda incobrable, lo que provocó salidas masivas. Trading Strategy, una plataforma de analítica DeFi, señaló que muchas bóvedas se volvieron ilíquidas como resultado de la filtración de la clave privada de Resolv, y que la garantía se volvió inútil durante la noche. Algunas bóvedas de Morpho mostraron de repente rendimientos altos, pero esas bóvedas eran ilíquidas, y era poco probable que los depositantes pudieran retirar fondos.

Los buenos curadores impidieron depósitos nuevos estableciendo los depósitos máximos en cero, pero el estándar de la bóveda no tiene una bandera separada para “bóvedas rotas”, solo “capacidad máxima alcanzada”. Trading Strategy está haciendo listas negras manualmente de las bóvedas problemáticas, pero el proceso lleva tiempo.

El patrón más amplio de hackeo DeFi continúa con Drift y Balancer

El exploit de Resolv se suma a un sombrío patrón de hacks DeFi a gran escala. Solo semanas antes de Resolv, Balancer Labs, la entidad con fines de lucro detrás del pionero creador de mercado automatizado, anunció que estaba cerrando después de perder $128 millones en un ataque de noviembre de 2025. El CEO de Balancer citó las consecuencias legales continuas y el costo financiero del hack, que drenó las reservas de liquidez mediante interacciones manipuladas con bóvedas. El Balancer DAO y el protocolo siguen vivos, pero la empresa central de desarrollo ha terminado efectivamente.

Abril de 2026 comenzó con el Drift Protocol informando una pérdida de $285 millones el 1 de abril, vinculada a hackers patrocinados por el Estado norcoreano. Para Resolv, presentar una cifra final de pérdidas de $34 millones ofrece un punto de partida claro para la recuperación, dando tiempo al protocolo que Balancer no tuvo. Las operaciones permanecen en pausa.

Preguntas frecuentes

¿Cómo ocurrió el exploit de Resolv?

Un atacante comprometió una única clave privada alojada en AWS que controlaba el SERVICE_ROLE, lo que le permitió acuñar 80 millones de tokens USR no respaldados con solo $100.000–$200.000 en garantía. Intercambiaron 34 millones de USR por 11.409 ETH (≈$24,5 millones) antes de que se agotara la liquidez. Más tarde, Resolv quemó los 36,73 millones de tokens restantes mediante una actualización de contrato.

¿Cuál es la pérdida estimada final para Resolv?

La pérdida neta de Resolv es de aproximadamente $34 millones. El atacante extrajo alrededor de $24,5 millones en ETH, y la actualización del protocolo evitó pérdidas adicionales destruyendo los tokens restantes en poder del hacker.

¿Qué otros protocolos DeFi se han visto afectados por hackeos recientes?

Balancer Labs se cerró después de un hack de $128 millones en noviembre de 2025, y Drift Protocol sufrió un exploit de $285 millones el 1 de abril de 2026. Las bóvedas de Morpho también absorbieron deuda incobrable del incidente de Resolv, volviéndose ilíquidas y provocando enormes salidas.