Durante il fantastic settimana, il protocollo crittografico Resolv, che emette la stablecoin USR, è stato sfruttato da un utente malintenzionato che è riuscito a coniare quasi 80 milioni di nuovi token USR dal nulla dopo aver depositato solo poche centinaia di migliaia di dollari in garanzia. Secondo i rapportil’aggressore è riuscito a mettere a segno l’exploit dopo aver ottenuto l’accesso a una chiave privata associata al controllo backend centralizzato per coniare nuovi token nel protocollo.
Il presente avviso viene emesso per conto di Resolv Digital Property Ltd. in relazione al protocollo Resolv.
Oggi, un utente malintenzionato ha ottenuto l’accesso non autorizzato all’infrastruttura Resolv attraverso una chiave privata compromessa, con conseguente conio di circa 80 milioni di dollari di…
— ResolvLabs (@ResolvLabs) 22 marzo 2026
Resolv Labs, che è la società dietro il progetto crittografico, pubblicato sull’exploit su X domenica e hanno dichiarato che “perseguiranno tutte le strade disponibili per recuperare i beni e ritenere responsabili i responsabili”.
Secondo i rapporti che tracciano i movimenti on-chain dei fondi associati agli attacchi, recuperare tutti i fondi sembra poco pratico, poiché quasi 25 milioni di dollari sono già stati convertiti in etere, la criptovaluta nativa della rete Ethereum. A differenza delle stablecoin, Ether è una criptovaluta nativa e non controllata a livello centrale, il che significa che non esiste alcuna istituzione terza da contattare nel tentativo di invertire le transazioni o sequestrare gli asset.
Mentre l’USR è destinato advert essere scambiato con un rapporto uno a uno con il dollaro statunitense, dati dalla piattaforma di mercato delle criptovalute CoinGecko indica che il token è stato scambiato al di sotto di 0,25 dollari lunedì mattina in seguito all’emissione di decine di milioni di token USR non garantiti.
Cosa è andato storto?
Sebbene questo tipo di exploit riporti immediatamente alla mente il collasso della stablecoin algoritmica UST associata alla blockchain di Terra nella primavera del 2022, per il quale il suo principale operatore è stato recentemente condannato a quindici anni di carcere, non sembra che l’ingegneria finanziaria o i contratti intelligenti associati a Resolv siano stati il problema principale in questo caso. Invece, un’analisi dell’attacco da parte della società di analisi blockchain Chainalysis indica come fonte di distruzione un’infrastruttura centralizzata e fuori catena, ovvero sotto forma di un’unica chiave privata.
“L’aggressore ha compromesso l’infrastruttura cloud di Resolv per ottenere l’accesso all’ambiente AWS Key Administration Service (KMS) di Resolv in cui period archiviata la chiave di firma privilegiata del protocollo”, si legge nel rapporto di Chainalysis. “Con il controllo sull’ambiente KMS, l’aggressore potrebbe utilizzare la chiave di conio di Resolv per autorizzare qualsiasi operazione di conio da lui scelta.”
Sebbene la chiave privata esposta sia stata la principale fonte del problema, è anche vero che il contratto intelligente che controllava il conio dei nuovi token USR non prevedeva alcun tipo di controllo di emissione massima codificato al suo interno. Una story salvaguardia avrebbe potuto potenzialmente limitare il danno dati da EtherScan indica che l’offerta totale della stablecoin è aumentata del 70% nel periodo dell’attacco.
La centralizzazione delle criptovalute smascherata ancora una volta
Sebbene la decentralizzazione sia spesso al centro della presunta proposta di valore offerta dalle infrastrutture basate su criptovalute e blockchain, quest’ultimo incidente è l’ennesimo esempio di come la decentralizzazione sia stata smascherata più come teatro di advertising and marketing che come realtà. È interessante notare che l’infrastruttura basata su AWS è stata coinvolta in questo exploit, poiché gran parte dell’infrastruttura finanziaria del mondo delle criptovalute ha subito tempi di inattività lo scorso anno a causa di un’interruzione di AWS, indicando che questo ecosistema apparentemente decentralizzato funziona su binari centralizzati.
Naturalmente, le stesse stablecoin operano anche come token centralizzati sostenuti da asset detenuti da istituzioni finanziarie tradizionali, aggiungendo un ulteriore livello di centralizzazione al combine. A causa della loro natura centralizzata e controllabile, le stablecoin presentano alcune delle stesse restrizioni presenti nel sistema bancario tradizionale, come il sequestro dei beni. Anche i principali emittenti di stablecoin, come Circle e Tether, hanno ora implementato le proprie blockchain native di stablecoin, rimuovendo ancora un altro livello della pretesa di decentralizzazione delle criptovalute.
Detto questo, le stablecoin sono diventate sempre più dominanti nel settore delle criptovalute e sono chiaramente il secondo caso d’uso principale, dopo la narrativa dell'”oro digitale” di bitcoin, a guadagnare terreno. Tutti, da Sony a PayPal, sono coinvolti in questi token crittografici ancorati al dollaro. Proprio la scorsa settimana, Mastercard annunciato l’acquisizione da 1,8 miliardi di dollari della società di infrastrutture per stablecoin BVNK, ed è stato anche recentemente rivelato che Meta darà un altro tentativo alle stablecoin dopo il fallimento del loro precedente progetto Libra.
Tuttavia, tutta la recente attenzione rivolta alle stablecoin e alla tokenizzazione delle azioni nelle criptovalute ha portato molti a chiedersi se il vecchio sistema non venga semplicemente reinventato in aggiunta alla nuova tecnologia.
