Die USR-Stablecoin von Resolv verlor ihre Dollar-Bindung und stürzte um 72 % auf 0,27 $ ab, nachdem ein Angreifer eine Schwachstelle im Minting-Contract des Protokolls ausnutzte, um etwa 80 Millionen nicht gedeckte Token zu erzeugen und rund 25 Millionen $ in Ether (ETH) abzuziehen, wodurch das Projekt faktisch insolvent wurde – mit 95 Millionen $ an Vermögenswerten gegenüber 173 Millionen $ an Verbindlichkeiten.
Exploit des Minting-Contracts
Der Angriff fand statt gegen 2:21 Uhr UTC am Sonntag, als der Angreifer laut mehreren Blockchain-Sicherheitsfirmen und On-Chain-Daten zwei Transaktionen nutzte, um rund 80 Millionen USR-Token ohne angemessene Deckung zu prägen.
Der Angreifer tauschte die geprägten USR anschließend auf dezentralen Börsen gegen USDC (USDC) und USDT (USDT), wandelte die Erlöse in ETH um und hält nun 11.409 ETH im Wert von etwa 23,7 Millionen $ plus 1,1 Millionen $ in „wrapped“ USR in einer separaten Wallet.
USR, eine an den Dollar gekoppelte Stablecoin, die auf einer delta-neutralen Hedging-Strategie basiert und durch ETH und Bitcoin (BTC) besichert ist, fiel innerhalb von 17 Minuten nach der ersten Prägung auf 0,025 $ in ihrem liquidesten Curve Finance-Pool.
Später erholte sich der Kurs auf etwa 0,85 $, hat seine Bindung jedoch nicht wiederhergestellt.
Auch lesenswert: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
Strukturelle Designfehler
On-Chain-Analysten stellten fest, dass die zugrunde liegende Ursache über das hinausging, was Resolv zunächst als „kompromittierten privaten Schlüssel“ und „gezielten Infrastrukturangriff“ beschrieben hatte.
Die SERVICE_ROLE, ein privilegiertes Konto, das Swap-Anfragen im Minting-Contract ausführt, wurde von einem einzigen externen Konto und nicht von einem Multisig kontrolliert. Der Contract verfügte über keine Oracle-Prüfungen, keine Betragsvalidierung und keine maximalen Mint-Limits – was es dem Angreifer erlaubte, 100.000 USDC einzuzahlen und im Gegenzug 50 Millionen USR zu erhalten, also etwa das 500-Fache des erwarteten Betrags.
Aussichten auf Wiederherstellung
Daten von DeFiLlama zeigen, dass der Total Value Locked (TVL) von Resolv im Februar 2025 nahe 684 Millionen $ seinen Höchststand erreichte, bevor er vor dem Exploit auf etwa 95 Millionen $ zurückging.
Resolv erklärte, man arbeite mit Strafverfolgungsbehörden und On-Chain-Analysefirmen zusammen und werde „alle verfügbaren Wege zur Wiedererlangung der Vermögenswerte ausschöpfen“. Das Team riet dringend davon ab, USR zu handeln, während die Wiederherstellungsmaßnahmen umgesetzt werden, und fügte hinzu, dass „Handlungen der Nutzer in der Zeit nach dem Exploit die Recovery beeinflussen können“.
Als Nächstes lesen: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning