Le bug fatal du contrat de mint
La nuit du 24 mars 2026 restera gravée dans l’histoire de Resolv Labs. Vers 2h21 UTC, un attaquant a profité d’une faille critique dans le contrat de mint du stablecoin USR, permettant la création mas
L’attaque a été rendue possible par l’absence totale de garde-fous sur le SERVICE_ROLE du contrat : un simple dépôt de 100 000 USDC a permis à l’attaquant de recevoir 50 millions d’USR, soit un ratio totalement disproportionné par rapport à la logique attendue.
Le 24 mars 2026, deux transactions ont suffi pour créer 80 millions d’USR non adossés et extraire 25 millions de dollars.
80 millions d’USR créés sans contrôle
Dans les minutes qui ont suivi l’exploit, le marché a réagi brutalement. Le prix du stablecoin USR s’est effondré à 0,025 dollar sur Curve Finance à peine 17 minutes après la première opération frauduleuse, avant de remonter autour de 0,85 dollar sans jamais retrouver sa parité avec le dollar américain. Selon coindesk.com, la chute hebdomadaire a atteint 72 %, avec un point bas à seulement 0,27 dollar ce lundi matin.
À certains moments, USR s’est même échangé jusqu’à 0,14 dollar sur les plateformes principales selon CoinGecko.
PeckShield précise que l’attaquant ne s’est pas arrêté là : après avoir minté une première tranche de 50 millions d’USR avec seulement 100 000 USDC déposés, il a créé une seconde vague de 30 millions supplémentaires. Cette inflation soudaine et non couverte a immédiatement détruit la confiance dans le protocole et provoqué une panique sur les marchés DeFi exposés à l’actif.
L’attaquant convertit tout en ETH
L’auteur de l’exploit n’a pas perdu de temps pour tirer profit des USR fraîchement créés. Il a rapidement échangé ces tokens contre des stablecoins majeurs comme USDC et USDT via des pools décentralisés, puis converti le produit en Ether (ETH). Au total, environ 11 409 ETH ont été extraits, représentant près de 23,7 millions de dollars au moment des faits. L’analyse on-chain montre également qu’un portefeuille secondaire détient encore environ 1,1 million de dollars sous forme d’USR enveloppé.
Au plus fort du projet en février 2025, la valeur totale verrouillée (TVL) sur Resolv frôlait les 684 millions de dollars. Mais avant même l’exploit, cette TVL avait déjà chuté à environ 95 millions. L’incident n’a fait qu’accélérer ce déclin et fragiliser davantage l’écosystème autour du stablecoin.
Voir Aussi
Des millions d’USR toujours en circulation
Au lendemain de l’incident, près de 36,74 millions d’USR restaient encore “en train d’être vendus” selon les analystes indépendants.
Resolv promet : collatéral encore sain
Face à la crise et aux interrogations croissantes des utilisateurs DeFi, Resolv Labs s’est empressé d’affirmer que le pool de collatéral “reste entièrement intact”. La société insiste sur le fait que seuls les mécanismes d’émission ont été compromis et que les actifs déposés en garantie n’ont pas été affectés directement par l’exploit. Le protocole a été mis en pause dans la foulée pour éviter toute nouvelle action malveillante et Resolv affirme coopérer avec les forces de l’ordre ainsi qu’avec plusieurs sociétés spécialisées dans l’analyse on-chain afin d’espérer récupérer une partie des fonds détournés.
Cependant, tout n’est pas clair pour autant : si Lido assure que les fonds des utilisateurs Lido Earn sont en sécurité et Aave affirme ne pas être exposé directement à USR, Morpho signale que certains vaults pourraient subir des pertes. La tranche junior RLP semble particulièrement vulnérable ; il est incertain si des plateformes comme Stream ou yoUSD seront touchées par ricochet.
La tranche junior RLP sous pression
Les conséquences se concentrent désormais sur certains segments précis du marché DeFi utilisant USR ou ses dérivés (wstUSR ou RLP) comme collatéral ou pour boucler des stratégies à effet levier. Les pertes potentielles restent difficiles à quantifier précisément mais pourraient peser lourdement sur la tranche junior RLP et certaines plateformes partenaires.
Les facteurs déterminants
Si Resolv Labs parvient à récupérer une partie des 25 millions de dollars extraits lors de l’exploit du 24 mars 2026, ou à sécuriser le pool de collatéral resté “entièrement intact” selon leurs déclarations, la réaction immédiate des marchés dépendra aussi de la confirmation ou non de pertes dans la tranche junior RLP, qui reste incertaine et pourrait affecter Stream et yoUSD.