Hack Resolv (USR) : 23 millions de dollars volés, la DeFi n’a rien appris

📋 En bref (TL;DR)
- 23 millions de dollars volés : le protocole DeFi Resolv a été victime d’un piratage massif le 22 mars 2026, après la compromission d’une clé privée stockée sur AWS.
- 80 millions de tokens USR créés sans collatéral : le hacker a exploité la fonction de minting pour générer des tokens avec seulement 300 000 $ de dépôt USDC — un ratio de 266 pour 1.
- Le stablecoin USR s’est effondré à 0,025 $ sur les marchés secondaires, provoquant un effet de contagion à travers plusieurs protocoles DeFi dont Morpho et Fluid.
- Les « curateurs de risque » pointés du doigt : les systèmes d’allocation automatisée de Gauntlet et d’autres ont continué d’injecter des fonds dans des marchés cassés pendant des heures.
- Resolv a lancé un ultimatum de 72 heures au hacker, offrant une prime de 10 % (2,5 M$) pour le retour des fonds — une stratégie de récupération conditionnelle devenue courante.
- Ce hack rappelle la faille de Stream Finance (93 M$ perdus en novembre 2025), prouvant que la DeFi n’a pas tiré les leçons de ses catastrophes précédentes.
Resolv : anatomie d’un hack à 23 millions de dollars
Le dimanche 22 mars 2026, le protocole DeFi Resolv a subi l’un des piratages les plus significatifs de l’année. Un attaquant a compromis une clé privée critique, lui permettant de créer 80 millions de tokens USR sans aucune garantie réelle, et d’extraire environ 23 millions de dollars en quelques heures.
Resolv est un protocole qui émet le stablecoin USR, normalement adossé à des actifs réels pour maintenir sa parité avec le dollar. Le mécanisme repose sur un système de minting (création de tokens) contrôlé par des clés de signature. En théorie, chaque USR émis correspond à un dépôt équivalent en collatéral. En pratique, une seule clé compromise a suffi pour faire s’écrouler tout l’édifice.
Une clé privée, un point de défaillance unique
L’attaquant a réussi à accéder à l’environnement AWS Key Management Service (KMS) de Resolv, compromettant la clé SERVICE_ROLE — une clé privilégiée qui contrôlait les autorisations de minting de tokens. C’est le détail qui fait froid dans le dos : alors que la fonction de pause du protocole était protégée par un multisig à 4 signatures, la création de tokens ne dépendait que d’une simple adresse EOA (Externally Owned Account).
Autrement dit, il fallait quatre personnes pour appuyer sur le bouton d’urgence, mais une seule clé suffisait pour imprimer de l’argent. Un choix d’architecture pour le moins discutable.
Avec cette clé en main, le hacker a manipulé la fonction completeSwap() du protocole. En déposant seulement 300 000 USDC, il a généré 80 millions de tokens USR en deux transactions (50 millions puis 30 millions) — un ratio de 266 pour 1 qui a immédiatement brisé l’adossement du stablecoin. Ce mécanisme ne disposait d’aucune vérification on-chain du ratio entre le collatéral déposé et les tokens émis : la validation reposait entièrement sur des signatures hors chaîne.
La cascade : du depeg à la contagion DeFi
Une fois les 80 millions d’USR créés à partir de rien, l’attaquant les a convertis en wstUSR (wrapped staked USR), puis échangés contre des stablecoins et de l’ETH à travers plusieurs pools d’échange décentralisés. Son portefeuille a accumulé environ 11 400 ETH, soit approximativement 24 millions de dollars.
L’impact immédiat : le stablecoin USR, censé valoir 1 dollar, s’est effondré à 0,025 $ sur les marchés secondaires — une chute de plus de 97 %. Les fournisseurs de liquidité sur Curve Finance ont subi environ 17 millions de dollars de pertes.
Mais le hack ne s’est pas arrêté là. L’attaquant a exploité le fait que certains protocoles de prêt utilisaient des oracles de prix figés pour l’USR. En achetant des USR massivement dévalués sur le marché, il les a déposés comme collatéral sur des plateformes comme Morpho et Fluid, où leur prix était encore considéré à 1 dollar. Il a ainsi emprunté des actifs sains (USDC, ETH) contre du collatéral sans valeur — une technique connue sous le nom de « Donation Attack ».
Le bilan de la contagion est lourd :
- Morpho : 6,2 millions de dollars de créances douteuses, dont 96 % dans des coffres gérés par Gauntlet
- Fluid : 11 millions de dollars d’exposition (couverts ensuite par l’équipe et les investisseurs)
- Curve Finance : environ 17 millions de dollars de pertes pour les fournisseurs de liquidité
- Inverse Finance : pertes limitées à 340 000 $ grâce à une pause rapide du marché en 15 minutes
Les curateurs de risque sur le banc des accusés
Ce hack met en lumière un problème structurel de la DeFi actuelle : le rôle des curateurs de risque. Ces entités — Gauntlet, Steakhouse Financial, Re7, MEV Capital — sont censées évaluer les protocoles et gérer l’allocation des fonds dans les coffres de rendement. Ils se présentent comme des superviseurs rigoureux.
Le problème ? Steakhouse Financial avait publié une évaluation positive de la rigueur institutionnelle de Resolv seulement cinq jours avant le hack. Plus grave encore, après l’attaque, les systèmes d’allocation automatisée de plusieurs curateurs ont continué d’injecter des fonds dans des marchés manifestement compromis pendant des heures. Paul Frambot, fondateur de Morpho, a identifié 15 coffres affectés avec une exposition significative à l’USR.
Le cas d’Inverse Finance fait figure d’exception et montre ce qui aurait dû se passer partout : une intervention humaine rapide, une pause des marchés en 15 minutes, et des pertes limitées. La différence entre 340 000 $ et 17 millions $ de pertes, c’est la vitesse de réaction.
Un ultimatum et des questions sans réponse
Le lundi 24 mars, Resolv Labs a lancé un ultimatum de 72 heures au hacker, lui proposant une prime de 10 % — soit environ 2,5 millions de dollars — en échange du retour des fonds restants. Ce type de négociation publique est devenu un classique de la gestion de crise en DeFi, bien que son taux de succès reste faible.
Ce hack rappelle de manière troublante l’effondrement de Stream Finance en novembre 2025, où 93 millions de dollars avaient été perdus et le stablecoin xUSD avait chuté de 75 %. À l’époque, la communauté DeFi avait longuement débattu de la responsabilité des curateurs et de la nécessité d’imposer des mécanismes de protection comme le « first-loss capital » (capital de premier rang absorbant les pertes).
Six mois plus tard, rien n’a changé. Les mêmes vulnérabilités existent, les mêmes erreurs se répètent. La DeFi continue de fonctionner sur un modèle où la sécurité repose sur la confiance dans des clés privées individuelles, où les vérifications on-chain sont optionnelles, et où les curateurs de risque n’assument aucune responsabilité financière lorsque leurs évaluations se révèlent erronées.
Trois leçons à retenir pour les investisseurs
Premièrement, ne jamais considérer un stablecoin comme sans risque. L’USR était présenté comme un actif stable adossé à des réserves. En quelques heures, il ne valait plus que 2,5 centimes. La diversification entre plusieurs stablecoins et protocoles reste la meilleure protection.
Deuxièmement, regarder comment les clés sont gérées. Un protocole dont les fonctions critiques (minting, gestion des fonds) reposent sur une seule clé privée présente un risque systémique. Privilégiez les protocoles qui imposent un multisig pour toutes les opérations sensibles et qui ont subi des audits de sécurité récents.
Troisièmement, méfiez-vous des rendements élevés sur des protocoles récents. Resolv offrait des taux attractifs qui ont attiré des milliards de dollars de TVL. Plus le rendement est élevé, plus le risque sous-jacent mérite d’être examiné. Se poser la question « d’où vient le rendement ? » reste le réflexe fondamental de tout investisseur DeFi.
Glossaire
Minting
Processus de création de nouveaux tokens sur une blockchain. Dans le cas d’un stablecoin, le minting est normalement conditionné au dépôt d’un collatéral équivalent (dollars, crypto-actifs) pour garantir la parité du token.
Multisig (multi-signature)
Mécanisme de sécurité qui exige plusieurs signatures (clés privées différentes) pour autoriser une transaction. Par exemple, un multisig 3/5 nécessite l’accord de 3 personnes sur 5 pour valider une opération, réduisant le risque lié à la compromission d’une seule clé.
Oracle
Service qui fournit des données externes (comme le prix d’un actif) aux smart contracts sur la blockchain. Un oracle figé ou défaillant peut permettre à un attaquant d’exploiter des écarts entre le prix réel d’un actif et celui reconnu par un protocole.
On-chain
Qualifie une opération ou une donnée enregistrée directement sur la blockchain, donc vérifiable publiquement et immuable. À l’opposé, les vérifications « off-chain » se font en dehors de la blockchain et dépendent de la confiance accordée à un tiers.
Curateur de risque (Risk Curator)
Entité spécialisée qui évalue les protocoles DeFi et gère l’allocation de fonds dans les coffres de rendement (vaults). Les curateurs comme Gauntlet ou Steakhouse Financial sont censés protéger les déposants en analysant les risques de chaque protocole.
Depeg
Perte de parité d’un stablecoin avec sa valeur de référence (généralement 1 dollar). Un depeg peut être temporaire (quelques heures) ou permanent, et entraîne des pertes pour tous les détenteurs du token et les protocoles qui l’utilisent comme collatéral.
Questions fréquentes
Qu’est-ce que le hack Resolv et combien a été volé ?
Le 22 mars 2026, un attaquant a compromis une clé privée du protocole DeFi Resolv, lui permettant de créer 80 millions de tokens USR sans collatéral. Il a ensuite converti ces tokens en ETH et stablecoins, extrayant environ 23 millions de dollars. Le stablecoin USR s’est effondré de 1 $ à 0,025 $, causant des pertes supplémentaires dans plusieurs protocoles DeFi connectés.
Comment le hacker a-t-il pu créer des tokens USR sans collatéral ?
L’attaquant a compromis la clé SERVICE_ROLE stockée sur AWS KMS, qui contrôlait la fonction de minting. La faille principale était l’absence de vérification on-chain du ratio entre le collatéral déposé et les tokens émis. Le protocole se fiait uniquement à des signatures off-chain, ce qui signifie qu’une seule clé compromise suffisait pour contourner toutes les protections.
Quels protocoles DeFi ont été affectés par la contagion ?
Plusieurs protocoles de prêt ont subi des pertes indirectes : Morpho (6,2 M$ de créances douteuses), Fluid (11 M$ d’exposition), et Curve Finance (environ 17 M$ de pertes pour les fournisseurs de liquidité). Les protocoles utilisant des oracles de prix figés pour l’USR ont été particulièrement vulnérables, car l’attaquant a pu déposer des USR dévalués comme collatéral à leur valeur nominale.
Comment se protéger contre ce type de hack en tant qu’investisseur DeFi ?
Trois réflexes essentiels : diversifier entre plusieurs stablecoins et protocoles pour limiter l’exposition à un seul point de défaillance ; vérifier la gouvernance des protocoles (un multisig pour les fonctions critiques est un minimum) ; et toujours se demander d’où vient le rendement promis. Privilégiez les protocoles audités récemment et qui publient des rapports de sécurité transparents.
Sources
Cet article s’appuie sur les sources suivantes :
- Chainalysis — The Resolv Hack: How One Compromised Key Printed $23 Million (22 mars 2026)
- Protos — Resolv hack shows DeFi learned nothing from last contagion (23 mars 2026)
- Journal du Coin — Resolv (USR) : Révélations sur l’attaque à 25 millions de dollars et l’ultimatum du protocole (24 mars 2026)
Comment citer cet article : « Hack Resolv (USR) : 23M$ volés, une clé compromise suffit », Fibo Crypto, 25 mars 2026.
La façon la plus simple d’acheter, échanger et gérer vos cryptos
Rejoignez les premiers utilisateurs et bénéficiez d’un accès prioritaire. Sans seed phrase, frais 3.5x plus bas, rendement DeFi intégré.
Rejoindre la waitlist →


