Acabo de darme cuenta de algo inquietante sobre cómo ha evolucionado DeFi. El hackeo de Resolv a finales de marzo es un ejemplo perfecto de por qué necesitamos replantear completamente las suposiciones de seguridad. Esto fue lo que ocurrió, y por qué importa más que otro error en un contrato inteligente.

El 22 de marzo, el protocolo de Resolv fue duramente atacado. Un atacante acuñó aproximadamente 80 millones de USR stablecoins con casi nada de respaldo, extrajo unos $25 millones en valor, y dejó el token cotizando a $0.20—una caída del 80%. ¿Lo más sorprendente? El código del contrato inteligente funcionó exactamente como se esperaba. No fue una vulnerabilidad en el código. Fue algo peor.

El verdadero problema radica en cómo Resolv diseñó su sistema de acuñación. Cuando querías acuñar USR, no era una simple transacción en la cadena. En cambio, había un proceso en dos pasos: primero depositas USDC en un contrato contador y solicitas una acuñación. Luego, un servicio fuera de la cadena con una clave privada privilegiada aprueba cuántos USR se crean en realidad. El contrato en sí no tenía ninguna protección—sin límites superiores, sin verificaciones de ratios, sin integración con oráculos, nada. Solo una verificación de firma. Cualquier cantidad firmada con esa clave podría, en teoría, ser acuñada.

El camino del atacante fue casi ridículamente sencillo una vez que tuvo la clave. Comprometieron el entorno AWS KMS de Resolv, donde residen las claves de firma. Una vez dentro, podían autorizar cualquier cosa. Depositaron quizás entre $100,000 y $200k en USDC en un par de transacciones, y luego usaron la clave ROBADA SERVICE_ROLE para firmar la acuñación de 50 millones de USR en una transacción y 30 millones en otra. Eso son 80 millones de tokens con un respaldo colateral mínimo.

A partir de ahí, la parte de lavado de dinero fue de manual. Convertieron USR en wstUSR(, un derivado de staking), luego lo cambiaron por stablecoins, después por ETH, usando múltiples pools y puentes en DEX para ocultar la pista. Hasta ahora, mantienen unos 11,400 ETH por valor de aproximadamente $24 millones, además de otros $1.3 millones en wstUSR en su dirección.

La reacción del mercado fue instantánea y brutal. Toda esa oferta sin respaldo colateral entró en los pools de liquidez simultáneamente, y el peg de USR se desplomó. Se recuperó algo hasta $0.56 en horas, pero el daño ya estaba hecho. Resolv tuvo que suspender todo para detener la hemorragia.

Lo que más me molesta es esto: Resolv hizo todo según el libro. Dieciocho auditorías de seguridad. Todas las medidas de seguridad estándar implementadas. Y aun así, esto ocurrió porque la verdadera vulnerabilidad no estaba en el código—estaba en las suposiciones de infraestructura. A medida que DeFi se vuelve más complejo y depende más de servicios externos, infraestructura en la nube y claves privilegiadas, la superficie de ataque se expande mucho más allá de lo que vive en la cadena.

La lección es dura. En un espacio donde los exploits pueden ejecutarse en minutos y ni siquiera sabes que estás sangrando hasta que ya es demasiado tarde, necesitas sistemas de monitoreo en tiempo real y respuestas automáticas. No son solo complementos, son necesidades absolutas. Si Resolv hubiera tenido sistemas que detectaran ratios de acuñación anormales—como una $100K deposito que de repente autoriza 50 millones de tokens—podrían haberlo detectado al instante. O si hubieran configurado pausas automáticas en eventos de acuñación inusuales, esos 80 millones de USR nunca habrían llegado al mercado en primer lugar.

Esta es la nueva realidad. Los contratos inteligentes son seguros. La infraestructura es el eslabón débil. Y cuando la seguridad de tu protocolo depende de mantener las claves seguras en la nube, ya no solo compras informes de auditoría. Estás apostando todo a la detección y velocidad de respuesta. Resolv aprendió esa lección a la mala.