coindesk.com
Ein Stablecoin soll einen Dollar wert sein. Resolv's USR hat einen Wert von 27 Cent und die Berechnung, um dies zu korrigieren, funktioniert nicht.
Ein Angreifer nutzte am Sonntag gegen 2:21 Uhr UTC eine Schwachstelle im Minting-Vertrag des USR-Stablecoins von Resolv aus und erzeugte dabei etwa 80 Millionen ungedeckte Token in zwei Transaktionen, wodurch er rund 25 Millionen US-Dollar erbeutete, so mehrere Blockchain-Sicherheitsfirmen und On-Chain-Daten.
Der Angreifer tauschte anschließend die geminten USR gegen $USDC und USDT über dezentrale Börsen, wandelte die Erlöse in $ETH um und hält nun 11.409 $ETH im Wert von etwa 23,7 Millionen US-Dollar sowie 1,1 Millionen US-Dollar in gebundenen USR in einer separaten Wallet.
USR, ein an den Dollar gebundener Stablecoin, der eine delta-neutrale Hedging-Strategie verwendet und durch $ETH und BTC abgesichert ist, stürzte laut DEX Screener innerhalb von 17 Minuten nach dem ersten Mint auf seinem liquidesten Curve Finance Pool auf $0,025 ab.
Es erholte sich später auf etwa 0,85 US-Dollar, hat seinen Peg jedoch nicht wiederhergestellt. Am Montagmorgen wurde es bei 0,27 US-Dollar gehandelt, was einem Wochenverlust von 72 % entspricht.
This notice is issued on behalf of Resolv Digital Assets Ltd. in relation to the Resolv protocol.
— Resolv Labs (@ResolvLabs) March 22, 2026
Earlier today, a malicious actor gained unauthorized access to Resolv infrastructure through compromised private key, resulting in the minting of approximately $80M of…
Die Hauptursache war schwerwiegender als in der ursprünglichen Erklärung von Resolv dargestellt. Das Team bezeichnete den Vorfall als eine „kompromittierte private Schlüssel“ und eine „gezielte Infrastrukturkompromittierung.“
Aber On-Chain-Analysten stellte fest, dass das eigentliche Problem struktureller Natur war. Die SERVICE_ROLE, ein privilegiertes Konto, das Swap-Anfragen im Minting-Vertrag ausführt, wurde von einem einzelnen extern verwalteten Konto und nicht von einem Multisig-Konto kontrolliert. Dem Vertrag fehlten Oracle-Überprüfungen, Betragsvalidierung und maximale Mint-Limits.
Der Angreifer zahlte 100.000 $USDC ein und erhielt im Gegenzug 50 Millionen USR, ungefähr das 500-Fache des erwarteten Betrags, da im System nichts überprüfte, ob dieses Verhältnis sinnvoll war.
Daten von DeFiLlama zeigen, dass der TVL von Resolv im Februar 2025 mit knapp 684 Millionen US-Dollar seinen Höhepunkt erreichte, bevor er im Laufe des Jahres auf etwa 95 Millionen US-Dollar vor dem Exploit zurückging.
Resolv erklärte, man arbeite mit Strafverfolgungsbehörden und On-Chain-Analysefirmen zusammen und werde „alle verfügbaren Wege zur Wiedererlangung der Vermögenswerte verfolgen.“
Das Team riet dringend davon ab, USR während der Wiederherstellungsmaßnahmen zu handeln, und fügte hinzu, dass „Handlungen der Nutzer während der Phase nach dem Exploit die Wiederherstellung beeinträchtigen können.“
Korrektur: 6:39 UTC: Die vorherige Version erwähnte irrtümlich 80 Millionen US-Dollar als Verlust im Titel und im Artikeltext