Outre l’attaque subie par Resolv, ce type de vulnérabilité DeFi s’est déjà produit à quatre reprises.
TechFlow SélectionTechFlow Sélection
Outre l’attaque subie par Resolv, ce type de vulnérabilité DeFi s’est déjà produit à quatre reprises.
17 minutes : 100 000 sont devenus 25 millions.
Dédié à des analyses Web3 approfondiesAuteur : The Defiant
Traduction et synthèse : TechFlow
Introduction de TechFlow : Cet article ne se contente pas de reconstituer la faille Resolv ; il met en lumière un phénomène encore plus inquiétant : le même schéma d’attaque — à savoir la fixation codée en dur des oracles sur une valeur de 1 dollar pour des stablecoins déancrées — s’est produit au moins quatre fois au cours des 14 derniers mois. Le problème n’est pas technique : il réside dans la structure incitative même du modèle « curator » — les risques sont supportés par les déposants, tandis que les gains reviennent aux curators.
Texte intégral :
Un dimanche matin calme, quelqu’un a transformé 100 000 dollars en 25 millions de dollars en environ 17 minutes.
La cible était le protocole de stablecoin rémunérée Resolv. Avant la suspension des contrats par Resolv, sa stablecoin adossée au dollar, USR, avait chuté à quelques centimes seulement. Au moment de la rédaction de cet article, USR demeurait fortement déancrée, cotée environ 0,25 dollar, soit une baisse supérieure à 70 % sur la semaine.
Les répercussions ont largement dépassé Resolv lui-même. Fluid/Instadapp a absorbé en une seule journée plus de 10 millions de dollars de créances irrécouvrables, tout en subissant un retrait net supérieur à 300 millions de dollars — un record historique pour ce protocole. Quinze caisses Morpho ont été touchées. Euler, Venus, Lista DAO et Inverse Finance ont toutes suspendu leurs marchés liés à USR.
Le mécanisme à l’origine de cette propagation des pertes — à savoir la valorisation à 1 dollar des stablecoins déancrées sur les marchés de prêt — n’est pas nouveau. Il s’est produit au moins quatre fois au cours des 14 derniers mois.
Fonctionnement de la faille
L’émission d’USR suit un processus en deux étapes hors chaîne : l’utilisateur dépose des USDC via la fonction requestSwap, puis une clé de signature hors chaîne dotée de privilèges, SERVICE_ROLE, confirme finalement le montant d’USR émis via la fonction completeSwap. Le contrat impose une limite minimale de sortie, mais aucune limite maximale. Ce que signe le détenteur de la clé est exécuté sans restriction par le contrat.
L’attaquant a obtenu un accès à cette clé via le service de gestion des clés AWS de Resolv. Il a soumis deux dépôts d’USDC, représentant au total entre 100 000 et 200 000 dollars, puis utilisé la clé volée pour autoriser la frappe de 80 millions d’USR en contrepartie. Les données en chaîne indiquent que les deux transactions correspondaient respectivement à 50 millions et à 30 millions d’USR, toutes deux exécutées en quelques minutes.
« La faille Resolv USR n’est pas un bug — c’est une fonctionnalité qui fonctionne exactement comme prévu. Et c’est précisément là que réside le problème », déclare l’analyste blockchain Vadim (@zacodil).
SERVICE_ROLE est une adresse de compte externe ordinaire, non une multisignature. Bien que la clé d’administrateur soit protégée par une multisignature, la clé de frappe ne l’est pas.
« Resolv a fait l’objet de 18 audits », précise Vadim, « dont l’un portait explicitement le nom suivant : “Absence de limite supérieure” ».
L’attaquant a procédé méthodiquement à son retrait : il a d’abord converti les USR fraîchement frappés en wstUSR (leur version stakée et emballée) afin d’atténuer l’impact sur le marché, puis les a échangés contre de l’ETH via Curve, Uniswap et KyberSwap. Son portefeuille contient actuellement environ 11 400 ETH (soit environ 24 millions de dollars). Les pools de garanties en ETH et BTC soutenant l’ensemble du système sont restés intacts malgré l’effondrement de la stablecoin.
Propagation de la contagion
La faille Resolv résulte en réalité de la superposition de deux événements distincts : premièrement, la faille de frappe ; deuxièmement, la défaillance en cascade des marchés de prêt.
Lorsque USR et wstUSR se sont effondrés, chaque marché de prêt acceptant ces actifs comme garantie a été confronté au même problème : leurs oracles continuaient à valoriser wstUSR à environ 1 dollar.
Omer Goldberg, fondateur de l’agence d’analyse des risques Chaos Labs, a documenté ce mécanisme. Sa découverte centrale est la suivante : « L’oracle est codé en dur, donc jamais réévalué. wstUSR était coté 1,13 dollar, alors qu’il s’échangeait sur le marché secondaire à environ 0,63 dollar. »
Des traders ont acheté wstUSR à bas prix sur le marché ouvert, puis l’ont utilisé comme garantie sur Morpho ou Fluid au prix affiché par l’oracle (1,13 dollar), empruntant des USDC avant de sortir du système.
Sur Fluid, l’équipe a mobilisé des prêts à court terme afin de couvrir intégralement les pertes, et s’est engagée à indemniser pleinement chaque utilisateur. Chez Morpho, Paul Frambot, cofondateur, a indiqué qu’environ 15 caisses présentaient d’importantes expositions, toutes adoptant des stratégies de garanties à haut risque et à longue traîne.
Gauntlet, un curator renommé, a déclaré : « L’exposition de plusieurs caisses à haut rendement est limitée. »
D2 Finance a immédiatement réfuté cette affirmation, publiant des données en chaîne montrant que la caisse phare de Gauntlet, « USDC Core », avait alloué 4,95 millions de dollars au marché wstUSR/USDC. Goldberg a ensuite précisé que les caisses Gauntlet représentaient 98 % de la liquidité fournie par les prêteurs sur ce marché.
Dans sa réponse écrite à The Defiant, Frambot a déclaré : « Nous étudions continuellement comment mieux rendre compte de l’ensemble des risques. Toutefois, nous ne pensons pas que le cœur du problème réside dans un manque d’étiquetage. »
Frambot a ajouté : « Morpho est indépendant des oracles, ce qui signifie qu’il permet aux curators de choisir l’oracle qu’ils jugent le plus adapté à un marché donné. Morpho constitue une infrastructure ouverte et sans autorisation, conçue pour externaliser la gestion des risques vers les curators. »
« Il est difficile d’imposer des garde-fous objectivement ‘corrects’ dans tous les scénarios », souligne Frambot, « et imposer des contraintes au niveau du protocole comporte également le risque de freiner la mise en œuvre de stratégies légitimes. »
Bien que le protocole sous-jacent délègue la gestion des risques aux curators, certains acteurs du secteur considèrent que ces derniers n’ont pas rempli leur rôle.
« Je pense que le modèle du curator est fondamentalement défaillant, car aucune véritable curation n’a lieu », a déclaré Marc Zeller sur X.
À la rédaction de cet article, Resolv, Gauntlet et Fluid n’avaient pas répondu aux demandes de commentaire de The Defiant.
Un schéma d’échec récurrent
Cette attaque n’est pas nouvelle. En janvier 2025, la stablecoin USD0++ d’Usual Protocol avait été codée en dur à 1 dollar par le curator MEV Capital au sein d’une caisse Morpho. Usual a ensuite modifié brusquement, sans aucun avertissement préalable, son prix plancher de rachat à 0,87 dollar, bloquant les prêteurs dans la caisse de MEV Capital, dont le taux d’utilisation a alors grimpé à 100 %.
En novembre 2025, xUSD de Stream Finance s’est effondré après que des curators eurent redirigé des dépôts en USDC vers des boucles à effet de levier adossées à cette stablecoin synthétique. Lorsque son oracle a refusé de se mettre à jour, des actifs estimés entre 285 millions et 700 millions de dollars ont été exposés sur Morpho, Euler et Silo. Moonwell a essuyé deux défaillances d’oracle consécutives en octobre et novembre 2025, générant collectivement plus de 5 millions de dollars de créances irrécouvrables.
Quelles implications pour le modèle curator ?
L’architecture de Morpho externalise toutes les décisions relatives aux risques vers des « curators » tiers, chargés de concevoir les caisses, de sélectionner les garanties, de définir les ratios prêt/valeur et de choisir les oracles. Cette théorie repose sur l’hypothèse que des institutions spécialisées disposent de compétences approfondies, que la concurrence favorise une meilleure gestion des risques, et que le protocole se limite à appliquer les règles.
Toutefois, les curators tirent leurs revenus des rendements générés, ce qui crée une incitation à accepter des garanties plus risquées — et potentiellement plus rémunératrices — telles que les stablecoins rémunérées. Le problème réside dans le fait que, lorsque ces stablecoins perdent leur ancrage, les pertes sont supportées par les déposants, non par les curators. Dans le cas de Resolv, certains curators ont continué à injecter des fonds dans les caisses affectées à l’aide de robots automatisés, aggravant ainsi les pertes dans les heures suivant la découverte de la faille.
La raison pour laquelle les oracles sont codés en dur pour les stablecoins rémunérées est de prévenir des liquidations injustifiées dues à des fluctuations à court terme. Mais cette protection n’est efficace que tant que la stabilité de la monnaie est maintenue.
L’agence d’analyse blockchain Chainalysis, dans son analyse post-incident, a souligné la nécessité de capacités de détection en temps réel sur la chaîne.
« Les contrats intelligents fonctionnent parfaitement sur la chaîne. Le problème réside manifestement dans la conception globale du système et dans ses infrastructures hors chaîne », conclut l’agence.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@DefiantNews
