Resolv aprovecha la pérdida de capturas con la actualización deltracpara destruir la recompensa del hacker

Resolv tomó medidas para detener las pérdidas totales estimadas que sufrió tras el ataque del mes pasado, considerado como el mayor hackeo DeFi del último mes. 

Esta medida limita los daños que el protocolo finalmente tendrá que recuperar a unos 34 millones de dólares, una fracción de la pérdida de 80 millones de dólares que sufrió el protocolo cuando los explotadores crearon tokens USR no compatibles, que convirtieron en aproximadamente 24,5 millones de dólares y extrajerontracETH. 

Las cifras finales del exploit Resolv 

Es posible que el hacker se hubiera salido con la suya mucho más de lo que finalmente lo hizo si el equipo de Resolv no hubiera ejecutado una maniobra en la cadena de bloques el 6 de abril de 2026 para implementar unatracactualización de contrato inteligente que quemó permanentemente millones de tokens wstUSR y stUSR que estaban bajo el control del hacker.

La transacción de actualización se ha confirmado en la cadena de bloques, y eltracprimero desempaqueta el stUSR en USR antes de enviar ambos a la dirección cero, lo que efectivamente hace que el token sea irrecuperable para cualquiera, especialmente para los hackers. 

La vulnerabilidad fue una vulneración de clave fuera de la cadena 

La vulnerabilidad que sacudió el protocolo Resolv se produjo el 22 de marzo de 2026, cuando un atacante utilizó una única clave privada comprometida alojada en AWS que controlaba el SERVICE_ROLE para aprobar dos grandes transacciones. 

Podría resultar tentador describir estedent simplemente como una "clave privada comprometida". Sin embargo, en este caso, la ruta de ataque parece más compleja e involucra múltiples etapas previas a las acciones en la cadena de bloques.

El vector de ataque en sí no es fundamentalmente nuevo, pero su ejecución sí… https://t.co/ZNnaMoUCdy

— MixBytes (@MixBytes) 6 de abril de 2026

Solo depositaron entre 100.000 y 200.000 dólares en USDC como garantía, pero el protocolo emitió 80 millones de tokens USR sin respaldo, y el hacker se puso rápidamente manos a la obra para intercambiarlos. 

Intercambiaron tokens por valor de 34 millones por 11.409 ETH, aproximadamente 24,5 millones de dólares en ese momento, antes de que se agotara la liquidez. Posteriormente, los tokens restantes permanecieron inactivos en las billeteras, en su mayoría envueltos como wstUSR. 

Para entonces, Resolv ya había intervenido para controlar los daños, pausando el protocolo y quemando parte del suministro en poder del atacante, al tiempo que ofrecía una recompensa del 10 % para los hackers éticos. 

Ante la falta de interés del hacker en una solución pacífica, el equipo decidió deshacerse de los tokens restantes ejerciendo su autoridad de actualización. La devaluación resultante de las acciones del hacker provocó que el USR cayera hasta los 0,025 dólares en Curve. 

Los protocolos DeFi expuestos a las valuts de Resolv también se vieron afectados por la explosión, y plataformas como Morpho absorbieron millones en deudas incobrables, lo que desencadenó salidas masivas de capital. 

El equipo de Resolv logró una pequeña victoria al ejercer su autoridad de actualización, que en el pasado ha sido criticada como un riesgo de centralización por proyectos como Flow, que han considerado mecanismos similares. 

Tormenta de hackeos en el clima de protocolos DeFi

La vulnerabilidad de Resolv fue grave y lamentable, sumándose a una sombría tendencia que ha surgido en los últimos tiempos, causando pérdidas multimillonarias a los usuarios y, en algunos casos, obligando a la jubilación de equipos enteros. 

Apenas unas semanas antes de la vulnerabilidad de Resolv, Balancer Labs, una entidad con fines de lucro que gestiona el innovador creador de mercado automatizado, anunció su cierre, al no poder seguir operando tras perder 128 millones de dólares en un ataque en noviembre de 2025. 

El director ejecutivo del protocolo, Fernando Martinelli, citó las repercusiones legales en curso y el costo financiero del ataque informático, que agotó sus reservas de liquidez mediante la manipulación de las interacciones en las bóvedas, como razones para la decisión. 

La DAO Balancer y el protocolo en sí seguirán existiendo, pero la empresa desarrolladora principal ha cesado su actividad, lo que supone el fin de la vida comercial del proyecto, aunque su código continúe vigente. 

Abril no ha empezado mejor, ya que Drift Protocol registró pérdidas de 285 millones de dólares el primer día del mes.

En cuanto a Resolv, poder presentar la cifra final de pérdidas supone un avance. Las operaciones siguen paralizadas, pero la cifra proporciona una base clara para la recuperación, lo que le da el tiempo que tanto necesita, una ventaja de la que no enjBalancer.