Resolv exploite les pertes grâce à une mise àtracpour détruire la prime de hacker

Resolv a pris des mesures pour limiter les pertes totales estimées subies après l'attaque dont elle a été victime le mois dernier, qualifiée de plus importante attaque DeFi du mois dernier. 

Cette mesure limite les dommages dont le protocole devra finalement se remettre à environ 34 millions de dollars, une fraction des 80 millions de dollars de pertes subies par le protocole lorsque des pirates ont émis des jetons USR non pris en charge, qu'ils ont convertis en environ 24,5 millions de dollars et extraits soustracd'ETH. 

Les chiffres définitifs de l'exploit Resolv 

Le pirate aurait pu s'en tirer avec bien plus que ce qu'il a finalement fait si l'équipe Resolv n'avait pas exécuté une manœuvre sur la chaîne le 6 avril 2026 pour déployer une mise à niveau de contrat intelligenttracdéfinitivement brûler 36,73 millions de jetons wstUSR et stUSR qui étaient sous le contrôle du pirate.

La transaction de mise à niveau a été confirmée sur la chaîne, letracdéballant d'abord le stUSR en USR avant d'envoyer les deux à l'adresse zéro, rendant ainsi le jeton irrécupérable par quiconque, en particulier par les pirates informatiques. 

L'exploit consistait en une compromission de clé hors chaîne 

L'exploit qui a secoué le protocole Resolv s'est produit le 22 mars 2026, lorsqu'un attaquant a utilisé une seule clé privée compromise hébergée sur AWS contrôlant le SERVICE_ROLE pour approuver deux importantes opérations. 

Il pourrait être tentant de décrire cetdent comme une simple « clé privée compromise ». Cependant, dans ce cas, le chemin d'attaque semble plus complexe et implique plusieurs étapes avant les actions sur la chaîne.

Le vecteur d'attaque en lui-même n'est pas fondamentalement nouveau, mais son exécution l'est… https://t.co/ZNnaMoUCdy

— MixBytes (@MixBytes) 6 avril 2026

Ils n'ont déposé qu'entre 100 000 et 200 000 dollars en USDC à titre de garantie, mais le protocole a émis 80 millions de jetons USR non garantis, et le pirate s'est rapidement mis au travail pour les échanger. 

Ils ont échangé l'équivalent de 34 millions de ETH contre 11 409 ETH, soit environ 24,5 millions de dollars à l'époque, avant que les liquidités ne soient épuisées. Par la suite, les jetons restants sont demeurés inactifs dans les portefeuilles, principalement sous forme de wstUSR. 

À ce moment-là, Resolv était déjà intervenu pour limiter les dégâts, en suspendant le protocole et en détruisant une partie des stocks détenus par l'attaquant, tout en offrant une prime de 10 % aux hackers éthiques. 

Face au refus du pirate de trouver une solution pacifique, l'équipe a décidé de se débarrasser des jetons restants en exerçant son droit de mise à niveau. La dévaluation consécutive à cette action a fait chuter le prix de l'USR jusqu'à 0,025 $ sur Curve. 

Les protocoles DeFi exposés aux coffres-forts de Resolv ont également été touchés par la crise, les coffres-forts de Morpho, par exemple, absorbant des millions de dollars de créances douteuses, ce qui a déclenché des sorties massives de fonds. 

L'équipe de Resolv a remporté une petite victoire en exerçant son pouvoir de mise à niveau, qui a été critiqué par le passé comme un risque de centralisation par des projets tels que Flow, qui ont envisagé des leviers similaires. 

Les protocoles DeFi subissent une tempête de piratage météorologique

L'exploitation de la faille Resolv était une faille importante et malheureuse, s'inscrivant dans une tendance inquiétante apparue ces derniers temps, qui a coûté des milliards aux utilisateurs et, dans certains cas, a entraîné la mise à la retraite d'équipes entières. 

Quelques semaines seulement avant l'exploitation de la faille Resolv, Balancer Labs, une entité à but lucratif qui gère le premier teneur de marché automatisé, a annoncé sa fermeture, incapable de poursuivre ses activités après avoir perdu 128 millions de dollars lors d'une attaque en novembre 2025. 

Le PDG du protocole, Fernando Martinelli, a cité les répercussions juridiques en cours et le coût financier du piratage, qui a épuisé ses réserves de liquidités par le biais d'interactions manipulées avec les coffres-forts, comme raisons de cette décision. 

Le DAO Balancer et le protocole lui-même resteront actifs, mais la société de développement principale a effectivement cessé ses activités, ce qui signifie la fin de la vie commerciale du projet même si son code continue d'exister. 

Le mois d'avril n'a pas mieux commencé, puisque Drift Protocol a annoncé une perte de 285 millions de dollars dès le premier jour du mois.

Pour Resolv, la présentation du bilan final des pertes marque un progrès. Les opérations restent suspendues, mais ce chiffre établit une base claire pour la reprise, lui offrant un répit précieux, un avantage dont Balancer, par exemple, n'a pas enj.