Resolv ha intrapreso azioni per arginare le perdite totali stimate subite a seguito dell'attacco informatico del mese scorso, definito il più grande hack DeFi dell'ultimo mese.
Questa mossa limita i danni che il protocollo dovrà complessivamente recuperare a circa 34 milioni di dollari, una frazione della perdita di 80 milioni di dollari subita quando alcuni hacker hanno coniato token USR non supportati, che hanno poi convertito in circa 24,5 milioni di dollari ed estratto come ETH.
I numeri finali dell'exploit Resolv
L'hacker avrebbe potuto ottenere molto di più di quanto effettivamente fatto se il team di Resolv non avesse eseguito una manovra on-chain il 6 aprile 2026, implementando un aggiornamento dello smart contract per bruciare definitivamente 36,73 milioni di token wstUSR e stUSR che erano sotto il controllo dell'hacker.
La transazione di aggiornamento è stata confermata on-chain, con il contratto che prima ha decapsulato lo stUSR in USR prima di inviare entrambi all'indirizzo zero, rendendo di fatto il token irrecuperabile da chiunque, soprattutto dagli hacker.
L'exploit consisteva in una compromissione di una chiave off-chain.
La vulnerabilità che ha colpito il protocollo Resolv si è verificata il 22 marzo 2026, quando un utente malintenzionato ha utilizzato una singola chiave privata compromessa, ospitata su AWS e relativa al ruolo SERVICE_ROLE, per approvare due grandi transazioni.
Potrebbe essere allettante descrivere questo incidente semplicemente come una "chiave privata compromessa". Tuttavia, in questo caso il percorso dell'attacco appare più complesso e coinvolge diverse fasi precedenti alle azioni on-chain.
Il vettore di attacco in sé non è fondamentalmente nuovo, ma la sua esecuzione sì… https://t.co/ZNnaMoUCdy
— MixBytes (@MixBytes) 6 aprile 2026
Avevano depositato solo tra i 100.000 e i 200.000 dollari in USDC come garanzia, ma il protocollo aveva emesso 80 milioni di token USR non garantiti e l'hacker si è subito messo al lavoro per scambiarli.
Hanno scambiato 34 milioni di token con 11.409 ETH, circa 24,5 milioni di dollari all'epoca , prima che la liquidità venisse spesa. Dopodiché, i token rimanenti sono rimasti inattivi nei portafogli degli hacker , per lo più incapsulati in wstUSR.
A quel punto, Resolv era già intervenuta per limitare i danni, mettendo in pausa il protocollo e bruciando parte delle risorse in possesso dell'attaccante, offrendo al contempo una ricompensa del 10% a chi avesse fornito informazioni utili.
Dopo che l'hacker non ha mostrato alcun interesse per una risoluzione pacifica, il team ha deciso di sbarazzarsi dei token rimanenti esercitando la propria autorità di upgrade. Il depeg risultante dalle azioni dell'hacker ha fatto scendere USR fino a $0,025 su Curve.
Anche i protocolli DeFi esposti ai vault di Resolv sono stati colpiti dall'esplosione, con vault come Morpho che hanno assorbito milioni di dollari in crediti inesigibili, innescando massicci deflussi di capitali.
Il team di Resolv ha ottenuto una piccola vittoria esercitando la propria autorità di aggiornamento, che in passato era stata criticata come un rischio di centralizzazione da progetti come Flow, che avevano preso in considerazione leve simili.
Protocolli DeFi, tempesta di hacker
La vulnerabilità di Resolv è stata un evento grave e spiacevole, che si aggiunge a un preoccupante schema emerso negli ultimi tempi, causando perdite per miliardi di dollari ai fondi degli utenti e, in alcuni casi, costringendo al ritiro interi team.
Poche settimane prima dell'attacco a Resolv, Balancer Labs , un'entità a scopo di lucro che gestisce il pionieristico market maker automatizzato, aveva annunciato la chiusura, non essendo più in grado di operare dopo aver perso 128 milioni di dollari in un attacco informatico nel novembre 2025.
Il CEO del protocollo, Fernando Martinelli, ha citato le continue ripercussioni legali e il danno finanziario causato dall'attacco hacker, che ha prosciugato le riserve di liquidità attraverso la manipolazione delle interazioni con i vault, come motivazioni della decisione.
La DAO Balancer e il protocollo stesso rimarranno attivi, ma la società di sviluppo principale ha di fatto cessato l'attività, segnando la fine della vita commerciale del progetto, sebbene il suo codice continui a esistere.
Aprile non è iniziato meglio, visto che Drift Protocol ha registrato una perdita di 285 milioni di dollari nel primo giorno del mese.
Per quanto riguarda Resolv, essere in grado di presentare la cifra definitiva delle perdite rappresenta un passo avanti. Le operazioni sono ancora sospese, ma la cifra fornisce una chiara base di riferimento per la ripresa, concedendo all'azienda il tempo necessario, un vantaggio di cui aziende come Balancer non hanno goduto.
Continui a lasciare che la banca si tenga la parte migliore? Guarda il nostro video gratuito su come diventare la tua banca .