Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 266Compromiso de clave privada

Drenaje vía Cloud-KMS de la stablecoin USR de Resolv

Resolv Labs perdió $25 M tras comprometerse sus claves AWS KMS; un depósito de $100K USDC minteó 50M USR y despegó la stablecoin un 74% en 17 minutos.

Fecha
Víctima
Resolv Labs
Cadena(s)
Ethereum
Estado
Fondos robados

El 22 de marzo de 2026 a las 02:21 UTC, los atacantes comprometieron el entorno AWS Key Management Service (KMS) de Resolv Labs y usaron la propia clave privilegiada de firma del protocolo para mintear 80 millones de stablecoins USR sin respaldo desde una posición inicial de $100.000 USDC. El precio de USR se desplomó de $1,00 a $0,025 en 17 minutos antes de recuperarse parcialmente. Pérdida total realizada: aproximadamente $25 millones en ETH extraídos del contrato USR Counter.

Qué ocurrió

USR era la stablecoin paritaria al dólar de Resolv, respaldada por una estrategia de cobertura delta-neutral usando ETH y BTC. Los usuarios podían mintear USR depositando colateral; la mecánica de redención estaba gobernada por contratos inteligentes que interactuaban tanto con colateral on-chain como con posiciones de cobertura off-chain.

La autoridad de minteo para USR estaba bloqueada detrás de una clave de firma privilegiada almacenada en AWS KMS — el servicio gestionado de Amazon para el almacenamiento criptográfico de claves. El despliegue estándar de AWS KMS es significativamente seguro; las claves en sí no pueden ser exportadas del servicio. Las operaciones se realizan enviando solicitudes a la API de KMS, autenticadas por credenciales de AWS IAM.

La ruta del atacante:

  1. Comprometió el entorno cloud AWS de Resolv — vector específico no detallado públicamente pero consistente con robo de credenciales, mala configuración vulnerable de infraestructura cloud o permisos IAM comprometidos.
  2. Con acceso al entorno AWS, obtuvo la capacidad de invocar la clave de firma almacenada en KMS a través de la ruta de API normal.
  3. Envió autorizaciones de minteo para USR contra entradas de colateral arbitrarias.
  4. Depositó 100.000 USDC en el contrato USR Counter de Resolv.
  5. El contrato, aceptando la autorización de minteo firmada por KMS, emitió 50.000.000 USR al atacante — 500× la proporción legítima.
  6. Repitió la operación hasta que se minteó ~80 M USR.
  7. Intercambió el USR recién minteado por ETH vía Curve y otros DEX antes de que el mercado tasara la dilución.

Extracción neta: ~$25 M en ETH antes de que el despegue de USR hiciera no rentable la extracción adicional.

Consecuencias

  • USR se desplomó de $1,00 a $0,025 en 17 minutos desde el primer minteo malicioso. Se recuperó parcialmente a ~$0,85 pero no ha restaurado su paridad hasta los informes públicos; $0,27 para el lunes siguiente.
  • Resolv Labs publicó un post-mortem identificando el compromiso de AWS KMS como la causa raíz y reconociendo fallos estructurales de diseño incluyendo:
    • Autoridad privilegiada de minteo controlada por una sola clave.
    • Sin comprobaciones de oráculo o cantidad en operaciones de minteo individuales.
    • Sin límites máximos de minteo para acotar el daño por transacción o por bloque.
  • Se anunciaron planes de recuperación y reinicio del protocolo; los detalles continuaron evolucionando hasta abril de 2026.

Por qué importa

El incidente de Resolv es uno de los casos más claros de por qué los servicios de claves gestionados en la nube no eliminan el riesgo de seguridad operativa — simplemente lo desplazan de "el archivo de clave privada en disco" a "el entorno cloud que puede invocar la clave". El atacante no exfiltró la clave almacenada en KMS (no podían); no lo necesitaron. La capacidad de pedir al KMS que firmara una carga útil, en nombre del protocolo, fue el compromiso completo.

Las lecciones estructurales, particularmente relevantes para la infraestructura de stablecoin y DeFi de 2026:

  1. El Cloud KMS es necesario pero no suficiente para operaciones de firma de alto valor. Los permisos IAM, las ACL de red y los controles operativos alrededor del entorno KMS son parte de la frontera de confianza. Un entorno KMS con permisos IAM amplios y monitoreo operativo débil es estructuralmente equivalente a una clave de hot wallet.

  2. Las rutas de minteo requieren invariantes explícitos más allá de la verificación de firma. Los contratos de Resolv confiaban completamente en la autorización firmada — sin límites de minteo por bloque, sin comprobaciones de ratio de colateral, sin anclaje de oráculo. El contrato hizo exactamente lo que la clave de firma (comprometida) le dijo que hiciera.

  3. Los diseños de clave única para la emisión de stablecoins son inseguros a escala, independientemente de cómo se proteja la clave. Las mitigaciones — multi-sig con timelocks, límites de tasa on-chain, pausa automática ante anomalías — existen; su ausencia en el diseño de Resolv es la causa subyacente.

El incidente de Resolv se une a Bybit, Drift Protocol y otros en la oleada de incidentes 2025-2026 donde los contratos del protocolo estaban técnicamente funcionando correctamente pero la infraestructura off-chain que los controlaba había sido comprometida. El patrón es ahora suficientemente dominante que "auditoría de contrato inteligente" sola es cada vez más reconocida como cubriendo una fracción menguante de la superficie de ataque real.

Fuentes y evidencia on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/markets/2026/03/23/resolv-stablecoin-drops-70-after-usd80-million-exploit-after-attacker-mints-usr
  2. [02]theblock.cohttps://www.theblock.co/post/394582/resolvs-usr-stablecoin-depegs-after-attacker-mints-80-million-unbacked-tokens-extracts-roughly-25-million
  3. [03]decrypt.cohttps://decrypt.co/361984/resolv-labs-stablecoin-depegs-plunges-74-after-25m-exploit

Registros relacionados