Paragrafo principale
Resolv stabilecoin USR ha perso il suo peg al dollaro a seguito del conio non autorizzato di circa 80.000.000 USR e di una successiva estrazione di circa 25 milioni di dollari, secondo quanto riportato da The Block il 22 mar 2026. Gli analisti hanno ricondotto l’exploit a un ruolo privilegiato di mint assegnato a un singolo account esterno (EOA) che non aveva limiti di conio rigidi e operava senza controlli di validazione oracle, permettendo all’attaccante di creare offerta non coperta a volontà. L’incidente si è verificato in molteplici interazioni con smart contract e ha messo immediatamente a rischio liquidity provider e controparti on-chain, costringendo market maker ad allargare gli spread e ridurre l’esposizione. I venue di trading e i liquidity pool hanno segnalato rapide dislocazioni di prezzo per USR, e l’episodio ha riaperto il dibattito su controlli di accesso, governance multisig e la prudenza di design con singolo punto di controllo per stablecoin algoritmiche e collateral-backed.
Context
Resolv ha lanciato USR come stablecoin denominato in dollari pensato per fornire un’unità di conto programmabile per applicazioni DeFi. Il 22 mar 2026 The Block ha documentato che un attaccante ha sfruttato un ruolo privilegiato di mint per coniare circa 80 milioni di USR e ha estratto approssimativamente 25 milioni di dollari di valore (The Block, 22 mar 2026). La vulnerabilità centrale non è stata una manipolazione di oracle o un attacco di prezzo via flash loan, ma un fallimento nella governance e nei controlli di accesso: un singolo account esterno manteneva un’autorità di conio senza limiti espliciti né vincoli multisig con delay temporali.
Le scelte architetturali che hanno permesso questo esito non sono uniche di Resolv. Diversi incidenti ad alta visibilità negli ultimi quattro anni — inclusi l’exploit del bridge Ronin (625 milioni di $ nell’apr 2022) e la perdita al bridge Wormhole (320 milioni di $ nel feb 2022) — hanno dimostrato che ipotesi di fiducia concentrate e una gestione delle chiavi inadeguata sono vettori ricorrenti di perdita di capitale. Per contro, le principali stablecoin ancorate al fiat come USDC e USDT si affidano a custodia off-chain e emittenti regolamentati; i loro rischi sono differenti (regolamentari e di custodia) ma la reazione del mercato agli exploit on-chain resta più rapida e severa.
Dal punto di vista di mercato, l’estrazione di 25 milioni di dollari è modesta in termini assoluti rispetto a eventi sistemici (ad es. il collasso di Terra che rimosse stime di decine di miliardi di dollari di valore di mercato nel maggio 2022), ma la rilevanza risiede nella velocità di contagio. Un conio non autorizzato da 25 milioni può destabilizzare coppie con scambi ridotti, innescare cascade di liquidazione automatica su posizioni leva e compromettere i meccanismi di mantenimento del peg, specialmente per stablecoin a bassa capitalizzazione dove offerta circolante e liquidità sono limitate.
Data Deep Dive
Le analisi on-chain mostrano che l’attaccante ha coniato ~80.000.000 token USR e ha effettuato swap e trasferimenti in uscita che hanno realizzato circa 25 milioni di dollari in proventi, secondo la timeline di The Block (pubblicata il 22 mar 2026). Gli hash delle transazioni indicano molteplici interazioni con exchange decentralizzati e liquidity pool in una finestra temporale ristretta, suggerendo che l’attaccante ha prioritizzato la convertibilità immediata rispetto alla furtività. Le tracce a livello di chain rivelano che gli eventi di conio hanno avuto origine da un indirizzo EOA che deteneva un ruolo privilegiato di governance; non erano presenti controlli oracle integrati né tetti di conio per indirizzo per impedire tale azione.
I metriche comparative sono istruttive. La perdita di 25 milioni di dollari è circa il 4% dell’hack Ronin da 625 milioni e il 7,8% dell’hack Wormhole da 320 milioni, indicando che questo incidente è materialmente più piccolo rispetto ai maggiori furti storici ai bridge ma resta significativo per un evento di depeg su un singolo token. Su base annua, la frequenza di exploit di smart contract di entità media (definiti tra 1M$ e 100M$) è diminuita dal 2022 grazie al maturare degli strumenti di sicurezza e delle revisioni, ma i fallimenti di controllo concentrato rimangono un vettore anomalo che può generare rischio di protocollo sproporzionato anche con perdite assolute moderate.
I dati di mercato nelle ore immediatamente successive all’exploit mostrano ampliamento degli spread e congelamenti dei prelievi in alcuni venue. I liquidity pool denominati in USR hanno riportato aumenti temporanei di slippage e limiti di pull. Exchange centralizzati e fornitori di liquidità custodial in genere hanno reagito disabilitando le coppie di trading USR o imponendo controlli sui prelievi in attesa di revisione forense, una sequenza osservata in precedenti incidenti in cui i token hanno subito improvvisa inflazione dell’offerta.
Sector Implications
L’incidente Resolv cristallizza tensioni strutturali nel segmento delle stablecoin tra rivendicazioni di decentralizzazione e controllo pragmatico. I protocolli che centralizzano il conio su EOA o controller a firma singola possono ottenere governance e velocità di deployment più rapide, ma espongono i detentori di token a singoli punti di fallimento. Viceversa, le stablecoin che si affidano a custodia istituzionale o sostenitori regolamentati scambiano resistenza alla censura con un rischio operativo inferiore; i partecipanti al mercato spesso prezzano questi trade-off nelle loro scelte di collateral e nell’esposizione alle controparti.
Per le controparti istituzionali, le implicazioni immediate sono operative: politiche di collateral, termini di prestito e limiti di controparte potrebbero essere irrigiditi per stablecoin nativi on-chain con modelli di controllo concentrato. Un benchmark pratico è la concentrazione dell’offerta: token in cui >30% dell’offerta o dei diritti di conio sono controllati da una singola entità presentano rischio di controparte elevato secondo gli attuali framework di stress test di mercato. Benchmark come USDC e USDT mostrano carichi di rischio molto diversi rispetto a token emergenti algoritmici o governati da protocollo come USR.
Regolatori e custodi prenderanno altresì nota. Gli incidenti guidati da fallimenti di governance — a differenza di violazioni crittografiche o oracle — sono più facilmente affrontabili tramite standard operativi, ritardi temporali per azioni privilegiate e framework di multisig/gestione tesoreria applicabili. Prevedibile un’accelerazione del dibattito tra exchange, fornitori di custody e organismi di standardizzazione su igiene minima di governance: ad es., timelock obbligatori, attestazioni di diligenza,
