Am Sonntag, den 22. März, verlor der Stablecoin USR — ausgegeben durch das Resolv-Protokoll — seine Dollar-Bindung, nachdem ein Angreifer einen kompromittierten privaten Schlüssel ausnutzte, um etwa 80 Millionen Token gegen eine triviale Sicherheitseinlage zu prägen.
Der Vorfall führte zu einer geschätzten Extraktion von 25 Millionen US-Dollar und löste Kaskadeneffekte auf mehreren DeFi-Plattformen aus, was Resolv zwang, den Betrieb einzustellen.
Der Umfang des Angriffs
Der Mechanismus war nicht im herkömmlichen Sinne ein Hack: Es wurden keine Sicherheiten beschlagnahmt. Der Angreifer erlangte Zugang zu einem privilegierten Signaturschlüssel, der innerhalb der AWS Key Management Service-Umgebung des Protokolls gespeichert war.
Mit diesem Berechtigungsnachweis reichte er zwei Prägungstransaktionen ein: zuerst 50 Millionen USR gegen etwa 100.000 USDC, dann weitere 30 Millionen USR. Die frisch geprägten, nicht gedeckten Token wurden anschließend in Liquiditätspools dezentraler Börsen — insbesondere in das USR/USDC-Paar von Curve — eingeworfen, um echten Wert zu extrahieren.
Der Weg des Angreifers führte von geprägtem USR über wstUSR (ein gestaktes USR-Derivat), dann in Stablecoins und schließlich in ETH: insgesamt 11.400 Coins im Wert von etwa 24,4 Millionen US-Dollar und 20 Millionen wstUSR.
USR fiel kurzzeitig auf etwa 0,20 US-Dollar, bevor es sich bei etwa 0,26 US-Dollar stabilisierte, eine Abweichung von 80% von der beabsichtigten Bindung.
Was diesen Vorfall besonders lehrreich macht, ist nicht der Schlüsselkompromiss selbst — der in eine gut dokumentierte Kategorie von Betriebssicherheitsfehlern fällt —, sondern das Fehlen grundlegender Schutzmaßnahmen in der Smart-Contract-Architektur.
Die Prägungsfunktion setzte kein Limit pro Transaktion oder pro Zeitfenster. Es erfolgte keine Validierung des Verhältnisses zwischen eingezahlter Sicherheit und geprägten Token. Es wurde kein Preisorakel referenziert. Kurz gesagt, sobald der Angreifer den privilegierten Schlüssel besaß, bot das Protokoll keine zweite Verteidigungslinie.
>> Entdecken Sie unser Stablecoin-Dashboard
Der angerichtete Schaden
Die Ansteckung breitete sich mit der charakteristischen Geschwindigkeit von DeFi aus.
Der Pool von Curve wurde geleert, was den CRV-Token um fast 5% sinken ließ. Auf Morpho, wo USR als zugrunde liegender Vermögenswert in mehreren Kredit-Tresoren diente, war der Schaden struktureller: Gauntlets USDC Frontier-Tresor verzeichnete Abflüsse von 85,66 Millionen US-Dollar, sein Core-Tresor weitere 17 Millionen US-Dollar, und mehr als zehn Tresore auf der Plattform waren insgesamt betroffen.
Auch auf Euler und über Midas-Produkte, einschließlich mBASIS, mAPOLLO und mEDGE, trat eine Exposition auf. Der Token von Morpho fiel um etwa 5%, bevor er sich erholte. Das Resolv-Team hat erklärt, dass die zugrunde liegenden Sicherheitenreserven nicht kompromittiert wurden.
>> MEV Capital: Anatomie eines Zusammenbruchs und Übernahme durch Belem Capital
Die Einschätzung von The Big Whale
Die Geschwindigkeit der Ansteckung bleibt der wesentliche Unterschied zwischen dezentralen und traditionellen Finanzsystemen: In konventionellen Märkten entfaltet sich eine vergleichbare Risikoübertragung typischerweise über Tage, was den Intermediären Zeit gibt, abzusichern, zu kommunizieren und einzugreifen.
Hier spielte sich die Kettenreaktion innerhalb von Stunden ab.
Grundsätzlich zeigt dieser Vorfall, warum der Einsatz institutionellen Kapitals in dezentralen Protokollen weiterhin vorsichtig voranschreitet.
Die Schwachstelle war nicht exotisch. Die Kontrolle über kritische Funktionen durch einen einzigen Schlüssel, das Fehlen von Prägungslimits und das Fehlen einer auf Orakeln basierenden Validierung sind alles bekannte Ausfallmodi, die in der Audit-Literatur umfassend dokumentiert sind.
Dass sie in einem Protokoll, das bedeutendes Kapital verwaltet, weiterhin bestehen, weist auf eine Lücke nicht in der Technologie selbst hin, sondern in den Sicherheitsgovernance-Standards, die die Branche noch formalisieren muss.
Bis diese Standards existieren und unabhängig durchgesetzt werden, werden Vorfälle wie dieser weiterhin den Zeitplan für die vollständige institutionelle Einführung von DeFi-Infrastrukturen verzögern — unabhängig davon, wie sorgfältig einzelne Tresor-Kuratoren oder Vermögensallokatoren auch sein mögen.







%201.png)






%201.png)
%201.png)


%201.png)



%201.png)


