Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 266Compromission de clé privée

Vidage cloud-KMS du stablecoin USR de Resolv

Resolv Labs a perdu 25 M$ après compromission de ses clés AWS KMS ; un dépôt de 100 K$ USDC a créé 50 M USR et dépeggé le stablecoin de 74% en 17 minutes.

Date
Victime
Resolv Labs
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 22 mars 2026 à 02h21 UTC, des attaquants ont compromis l'environnement AWS Key Management Service (KMS) de Resolv Labs et utilisé la propre clé de signature privilégiée du protocole pour créer 80 millions de stablecoins USR non garantis depuis une position de départ de 100 000 USDC. Le prix d'USR s'est effondré de 1,00 $ à 0,025 $ en 17 minutes avant de récupérer partiellement. Perte totale réalisée : environ 25 millions de dollars en ETH extraits du contrat USR Counter.

Ce qui s'est passé

USR était le stablecoin peggé au dollar de Resolv, adossé à une stratégie de hedge delta-neutre utilisant ETH et BTC. Les utilisateurs pouvaient créer de l'USR en déposant des garanties ; la mécanique de rachat était régie par des contrats intelligents qui interagissaient à la fois avec les garanties on-chain et les positions de hedge off-chain.

L'autorité de mint pour USR était verrouillée derrière une clé de signature privilégiée stockée dans AWS KMS — le service géré d'Amazon pour le stockage de clés cryptographiques. Le déploiement standard d'AWS KMS est significativement sécurisé ; les clés elles-mêmes ne peuvent pas être exportées du service. Les opérations sont effectuées en envoyant des requêtes à l'API KMS, authentifiées par les identifiants AWS IAM.

Le chemin de l'attaquant :

  1. Compromission de l'environnement cloud AWS de Resolv — vecteur spécifique non détaillé publiquement mais cohérent avec un vol d'identifiants, une mauvaise configuration d'infrastructure cloud vulnérable, ou des permissions IAM compromises.
  2. Avec l'accès à l'environnement AWS, obtention de la capacité d'invoquer la clé de signature stockée dans KMS via le chemin API normal.
  3. Soumission d'autorisations de mint pour USR contre des entrées de garantie arbitraires.
  4. Dépôt de 100 000 USDC dans le contrat USR Counter de Resolv.
  5. Le contrat, acceptant l'autorisation de mint signée par KMS, a émis 50 000 000 USR à l'attaquant — 500× le ratio légitime.
  6. Répétition de l'opération jusqu'à ce que ~80 M USR aient été créés.
  7. Échange des USR fraîchement créés contre ETH via Curve et autres DEX avant que le marché ne prenne en compte la dilution.

Extraction nette : ~25 M$ en ETH avant que le dépeg d'USR ne rende toute extraction supplémentaire non rentable.

Conséquences

  • USR s'est effondré de 1,00 $ à 0,025 $ dans les 17 minutes suivant le premier mint malveillant. Il a récupéré partiellement à ~0,85 $ mais n'a pas restauré son peg au moment des rapports publics ; 0,27 $ le lundi suivant.
  • Resolv Labs a publié un post-mortem identifiant la compromission AWS KMS comme la cause racine et reconnaissant des échecs de conception structurelle incluant :
    • Autorité de mint privilégiée contrôlée par une seule clé.
    • Aucune vérification d'oracle ou de montant sur les opérations de mint individuelles.
    • Aucune limite maximale de mint pour borner les dommages par transaction ou par bloc.
  • Des plans de récupération et de redémarrage du protocole ont été annoncés ; les détails ont continué à évoluer jusqu'en avril 2026.

Pourquoi c'est important

L'incident Resolv est l'un des cas les plus nets pour pourquoi les services de clés gérés par le cloud n'éliminent pas le risque de sécurité opérationnelle — ils le déplacent simplement de « le fichier de clé privée sur le disque » à « l'environnement cloud qui peut invoquer la clé ». L'attaquant n'a pas exfiltré la clé stockée dans KMS (il ne pouvait pas) ; il n'en avait pas besoin. La capacité de demander à KMS de signer une charge utile, au nom du protocole, était toute la compromission.

Les leçons structurelles, particulièrement pertinentes pour l'infrastructure stablecoin et DeFi de 2026 :

  1. Le KMS cloud est nécessaire mais pas suffisant pour les opérations de signature à haute valeur. Les permissions IAM, les ACL réseau et les contrôles opérationnels autour de l'environnement KMS font partie de la frontière de confiance. Un environnement KMS avec des permissions IAM larges et une surveillance opérationnelle faible est structurellement équivalent à une clé de hot wallet.

  2. Les chemins de mint nécessitent des invariants explicites au-delà de la vérification de signature. Les contrats de Resolv faisaient entièrement confiance à l'autorisation signée — pas de limites de mint par bloc, pas de vérifications de ratio de garantie, pas d'ancrage d'oracle. Le contrat faisait exactement ce que la clé de signature (compromise) lui disait de faire.

  3. Les conceptions à clé unique pour l'émission de stablecoins sont peu sûres à grande échelle, indépendamment de la protection de la clé. Les atténuations — multi-sig avec timelocks, limites de débit on-chain, pause automatique sur anomalie — existent ; leur absence dans la conception de Resolv est la cause sous-jacente.

L'incident Resolv rejoint Bybit, Drift Protocol, et autres dans la vague d'incidents de 2025-2026 où les contrats du protocole fonctionnaient techniquement correctement mais l'infrastructure off-chain les contrôlant avait été compromise. Le schéma est maintenant suffisamment dominant pour que « audit de contrat intelligent » seul soit de plus en plus reconnu comme couvrant une fraction décroissante de la surface d'attaque réelle.

Sources & preuves on-chain

  1. [01]coindesk.comhttps://www.coindesk.com/markets/2026/03/23/resolv-stablecoin-drops-70-after-usd80-million-exploit-after-attacker-mints-usr
  2. [02]theblock.cohttps://www.theblock.co/post/394582/resolvs-usr-stablecoin-depegs-after-attacker-mints-80-million-unbacked-tokens-extracts-roughly-25-million
  3. [03]decrypt.cohttps://decrypt.co/361984/resolv-labs-stablecoin-depegs-plunges-74-after-25m-exploit

Dépôts liés