La stablecoin USR s'effondre et se décroche ! Resolv expose une « faille de frappe » et perd 25 millions de dollars aux mains des pirates informatiques

Selon plusieurs rapports d’organismes de sécurité blockchain, la plateforme DeFi Resolv a été victime d’une attaque exploitant une vulnérabilité. Les hackers ont créé rapidement 80 millions de stablecoins USR non garantis à un coût très faible, puis les ont vendus pour réaliser environ 25 millions de dollars, provoquant un décalage important du prix de l’USR et une réaction en chaîne sur le marché des prêts.

L’attaque a eu lieu vers 10h21 le 22 mars. Les données on-chain montrent que les hackers ont d’abord déposé 100 000 USDC dans le contrat intelligent de Resolv, pour échanger contre jusqu’à 50 millions d’USR, soit un ratio d’échange 500 fois supérieur à la normale. Ensuite, ils ont procédé à une deuxième transaction pour créer 30 millions d’USR supplémentaires.

USR de @ResolvLabs se négocie à un centime, quelqu’un a créé 50 millions d’USR avec 100 000 USDC pic.twitter.com/fXtjZgxzQk

— YAM 🌱 (@yieldsandmore) 22 mars 2026

En tant que stablecoin prétendant être indexé à 1:1 au dollar, l’USR ne repose pas sur des réserves de monnaie fiduciaire traditionnelles, mais maintient sa valeur via une stratégie de couverture delta-neutre utilisant des ETH et des BTC pour équilibrer ses positions.

Selon les données de DEX Screener, après la première création, l’USR a chuté à 0,025 dollar en seulement 17 minutes dans la pool de liquidités la plus profonde de Curve Finance. Bien qu’il ait brièvement rebondi à près de 0,85 dollar, il n’a pas encore retrouvé son ancrage à 1 dollar au moment de la rédaction.

Les hackers ont habilement blanchi l’argent, l’autorité affirme que « la pool de garantie est intacte » suscite la controverse
Après leur coup, les hackers (dont l’adresse de portefeuille commence par 0x04A2) ont rapidement échangé ces USR créés de toutes pièces contre USDC, USDT, puis converti le tout en ETH sur plusieurs DEX. Les données on-chain montrent que leur portefeuille détient désormais jusqu’à 11 409 ETH, d’une valeur d’environ 23,7 millions de dollars.

Après la révélation de l’incident, Resolv Labs a publié une déclaration sur la plateforme X, indiquant que tous les protocoles ont été suspendus, en insistant sur le fait que « la pool de garantie est intacte » et qu’aucun actif sous-jacent n’a été perdu, qualifiant l’incident de « simple faille dans le mécanisme d’émission de l’USR ».

Nous enquêtons actuellement sur un incident de sécurité impliquant une émission non autorisée d’USR.

À ce stade :

La pool de garantie reste entièrement intacte. Aucun actif sous-jacent n’a été perdu.

Le problème semble limité à la mécanique d’émission de l’USR.

Notre priorité immédiate est de :

1)…

— Resolv Labs (@ResolvLabs) 22 mars 2026

Contrôles d’accès défaillants
Bien que l’équipe tente de minimiser l’impact, les experts en sécurité ne sont pas convaincus. Andrew Hong, analyste de données on-chain, indique que la faille provient du compte privilégié « SERVICE_ROLE » responsable des demandes d’échange dans le protocole. Il est choquant de constater que ce rôle clé est contrôlé par un simple compte externe (EOA, c’est-à-dire un portefeuille individuel), plutôt que par un système multi-signatures plus sécurisé. Pire encore, le contrat d’émission ne vérifie pas les prix via une oracle, ne contrôle pas la quantité créée, et n’a même pas de limite d’émission configurée.

Le fonds d’investissement DeFi D2 Finance a également identifié trois causes possibles : manipulation malveillante de l’oracle, intrusion dans le système de signature hors chaîne, ou absence de vérification de montant entre la demande d’émission et l’exécution. YieldsAndMore, qui a été le premier à révéler l’incident, déplore qu’un protocole de cette envergure comme Resolv manque de protections de sécurité fondamentales.

Deddy Lavid, CEO de la société de sécurité blockchain Cyvers, déclare : « C’est là que le vrai risque des stablecoins apparaît. Se limiter à des audits réguliers ne suffit pas. Sans surveillance en temps réel de la création et de l’offre de tokens, l’équipe est aveugle face à une crise. »

Une catastrophe inattendue : inflation invisible qui pénalise les petits investisseurs, effet domino sur le marché des prêts
Bien que Resolv affirme que la pool de garantie est « intacte » d’un point de vue technique, cette déclaration sous-estime la gravité de l’incident. Les analystes on-chain expliquent que l’attaque n’a pas simplement vidé un coffre-fort, mais a utilisé une méthode plus insidieuse : la « inflation de l’offre ». La création soudaine de 80 millions de nouveaux tokens a instantanément dilué la valeur en circulation, tandis que la liquidation par les hackers a épuisé la liquidité des pools. Cela signifie que les investisseurs détenant des USR ont vu leur patrimoine s’effondrer en un instant.

Ce chaos s’est rapidement propagé à d’autres marchés DeFi de prêt. Étant donné que USR et ses tokens dérivés sont acceptés comme collatéral par plusieurs plateformes (comme Morpho, Gauntlet), les spéculateurs ont saisi l’opportunité : acheter USR à bas prix, puis le déposer en garantie sur ces plateformes, en profitant du prix figé à 1 dollar pour emprunter massivement USDC. Cette opération de « tirer profit de la situation » a vidé les réserves de liquidités des pools de prêt.

Une plateforme autrefois financée à des dizaines de millions et auditée 14 fois, aujourd’hui en déclin
Avant l’attaque, la taille du fonds de Resolv était déjà en déclin. La capitalisation de l’USR, qui avait atteint 400 millions de dollars début février, a chuté à environ 100 millions de dollars juste avant l’incident.