Une seule clé volée, 80 millions de stablecoins créés à partir de rien, 24,5 millions convertis en Ether en quelques minutes. Le protocole DeFi Resolv n'a pas été piraté par un bug. Son code a fonctionné exactement comme prévu.
Le 22 mars 2026, le protocole de finance décentralisée Resolv a vu son stablecoin USR perdre 95 % de sa valeur en quelques heures. L'attaque ne repose sur aucune faille de code. Un pirate a compromis une clé privée stockée dans le cloud et s'en est servi pour frapper des dizaines de millions de tokens sans garantie.
200 000 dollars en entrée, 24,5 millions en sortie
Le mécanisme normal est simple. Un utilisateur dépose des USDC, le système vérifie le montant et frappe l'équivalent en USR. Toute l'opération dépend d'une clé de signature hébergée sur AWS KMS, le service de gestion de clés d'Amazon.
L'attaquant a pris le contrôle de cette clé. Il a déposé environ 200 000 dollars en USDC, puis a fait signer par le système l'autorisation de frapper 80 millions d'USR. Le contrat intelligent n'impose aucun plafond de frappe ni ratio minimum entre collatéral et tokens émis. Tant que la clé signe, le système exécute.
En quelques minutes, le pirate a écoulé ses USR sur les pools de liquidité décentralisés. Il a converti le butin en environ 11 400 ETH, soit 24,5 millions de dollars. L'USR a plongé à 0,05 dollar. Resolv a suspendu le protocole et confirmé que le pool de collatéral, estimé à 141 millions de dollars, restait intact. Le problème n'est pas la réserve. C'est la planche à billets.
18 audits, zéro garde-fou sur la clé maîtresse
Le protocole avait fait auditer ses contrats 18 fois. Ce chiffre, loin de rassurer, souligne un angle mort récurrent dans la DeFi. Les audits vérifient le code. Ils ne vérifient pas qui détient la clé de frappe, comment elle est stockée, ni ce qui se passe si elle tombe entre de mauvaises mains.
L'analyse post-mortem résume l'affaire en une phrase. Un attaquant a obtenu une clé, imprimé de l'argent, et vendu la fausse monnaie avant que quiconque ne réagisse. Aucune alerte automatique n'a détecté l'anomalie. Un dépôt de 200 000 dollars autorisant une frappe de 80 millions aurait pourtant dû déclencher un blocage immédiat.
Resolv a proposé au pirate une prime de 10 % (soit 2,45 millions) en échange de la restitution des fonds. À ce jour, aucune réponse. L'attaquant détient toujours ses 11 400 ETH, un actif notoirement difficile à geler. Le protocole promet de couvrir les positions USR antérieures à l'attaque. Avec ce hack, les pertes cumulées sur les protocoles DeFi au premier trimestre 2026 atteignent 137 millions de dollars en 15 incidents.
Quand le coffre-fort est blindé mais que la clé traîne dans le cloud, l'audit ne vaut que le papier sur lequel il est imprimé.
