Resolv: Wie ein kompromittierter Schlüssel den USR-Token um 80% abstürzen ließ

Resolv: Wie ein kompromittierter Schlüssel den USR-Token um 80% abstürzen ließ
Ask AI TO SUMMARIZE ThIS ARTICLE

Ein kompromittierter Schlüssel ermöglichte es einem Angreifer, 80 Millionen nicht gedeckte USR-Token zu prägen, was den Stablecoin um 80% abstürzen ließ. Der Exploit im Wert von 25 Millionen US-Dollar deckte kritische Sicherheitslücken im DeFi auf und schickte Schockwellen durch Curve, Morpho und mehr.

Your 2 free articles this month are up

The research your peers are already leveraging

The Big Whale gives financial institutions the market intelligence, network, and platform to move with confidence in digital assets. Trusted by 150+ firms.

Am Sonntag, den 22. März, verlor der Stablecoin USR — ausgegeben durch das Resolv-Protokoll — seine Dollar-Bindung, nachdem ein Angreifer einen kompromittierten privaten Schlüssel ausnutzte, um etwa 80 Millionen Token gegen eine triviale Sicherheitseinlage zu prägen.

Der Vorfall führte zu einer geschätzten Extraktion von 25 Millionen US-Dollar und löste Kaskadeneffekte auf mehreren DeFi-Plattformen aus, was Resolv zwang, den Betrieb einzustellen.

Der Umfang des Angriffs

Der Mechanismus war nicht im herkömmlichen Sinne ein Hack: Es wurden keine Sicherheiten beschlagnahmt. Der Angreifer erlangte Zugang zu einem privilegierten Signaturschlüssel, der innerhalb der AWS Key Management Service-Umgebung des Protokolls gespeichert war.

Mit diesem Berechtigungsnachweis reichte er zwei Prägungstransaktionen ein: zuerst 50 Millionen USR gegen etwa 100.000 USDC, dann weitere 30 Millionen USR. Die frisch geprägten, nicht gedeckten Token wurden anschließend in Liquiditätspools dezentraler Börsen — insbesondere in das USR/USDC-Paar von Curve — eingeworfen, um echten Wert zu extrahieren.

Der Weg des Angreifers führte von geprägtem USR über wstUSR (ein gestaktes USR-Derivat), dann in Stablecoins und schließlich in ETH: insgesamt 11.400 Coins im Wert von etwa 24,4 Millionen US-Dollar und 20 Millionen wstUSR.

USR fiel kurzzeitig auf etwa 0,20 US-Dollar, bevor es sich bei etwa 0,26 US-Dollar stabilisierte, eine Abweichung von 80% von der beabsichtigten Bindung.

Was diesen Vorfall besonders lehrreich macht, ist nicht der Schlüsselkompromiss selbst — der in eine gut dokumentierte Kategorie von Betriebssicherheitsfehlern fällt —, sondern das Fehlen grundlegender Schutzmaßnahmen in der Smart-Contract-Architektur.

Die Prägungsfunktion setzte kein Limit pro Transaktion oder pro Zeitfenster. Es erfolgte keine Validierung des Verhältnisses zwischen eingezahlter Sicherheit und geprägten Token. Es wurde kein Preisorakel referenziert. Kurz gesagt, sobald der Angreifer den privilegierten Schlüssel besaß, bot das Protokoll keine zweite Verteidigungslinie.

>> Entdecken Sie unser Stablecoin-Dashboard

Der angerichtete Schaden

Die Ansteckung breitete sich mit der charakteristischen Geschwindigkeit von DeFi aus.

Der Pool von Curve wurde geleert, was den CRV-Token um fast 5% sinken ließ. Auf Morpho, wo USR als zugrunde liegender Vermögenswert in mehreren Kredit-Tresoren diente, war der Schaden struktureller: Gauntlets USDC Frontier-Tresor verzeichnete Abflüsse von 85,66 Millionen US-Dollar, sein Core-Tresor weitere 17 Millionen US-Dollar, und mehr als zehn Tresore auf der Plattform waren insgesamt betroffen.

Auch auf Euler und über Midas-Produkte, einschließlich mBASIS, mAPOLLO und mEDGE, trat eine Exposition auf. Der Token von Morpho fiel um etwa 5%, bevor er sich erholte. Das Resolv-Team hat erklärt, dass die zugrunde liegenden Sicherheitenreserven nicht kompromittiert wurden.

>> MEV Capital: Anatomie eines Zusammenbruchs und Übernahme durch Belem Capital

Die Einschätzung von The Big Whale

Die Geschwindigkeit der Ansteckung bleibt der wesentliche Unterschied zwischen dezentralen und traditionellen Finanzsystemen: In konventionellen Märkten entfaltet sich eine vergleichbare Risikoübertragung typischerweise über Tage, was den Intermediären Zeit gibt, abzusichern, zu kommunizieren und einzugreifen.

Hier spielte sich die Kettenreaktion innerhalb von Stunden ab.

Grundsätzlich zeigt dieser Vorfall, warum der Einsatz institutionellen Kapitals in dezentralen Protokollen weiterhin vorsichtig voranschreitet.

Die Schwachstelle war nicht exotisch. Die Kontrolle über kritische Funktionen durch einen einzigen Schlüssel, das Fehlen von Prägungslimits und das Fehlen einer auf Orakeln basierenden Validierung sind alles bekannte Ausfallmodi, die in der Audit-Literatur umfassend dokumentiert sind.

Dass sie in einem Protokoll, das bedeutendes Kapital verwaltet, weiterhin bestehen, weist auf eine Lücke nicht in der Technologie selbst hin, sondern in den Sicherheitsgovernance-Standards, die die Branche noch formalisieren muss.

Bis diese Standards existieren und unabhängig durchgesetzt werden, werden Vorfälle wie dieser weiterhin den Zeitplan für die vollständige institutionelle Einführung von DeFi-Infrastrukturen verzögern — unabhängig davon, wie sorgfältig einzelne Tresor-Kuratoren oder Vermögensallokatoren auch sein mögen.

Aleksandar Bukovski

Aleksandar Bukovski ist Lead Analyst bei The Big Whale, wo er auf decentralized finance und crypto-assets spezialisiert ist. Seine bei The Big Whale veröffentlichten Arbeiten behandeln unter anderem stablecoins, tokenized finance, DeFi protocols, Bitcoin mining und die institutionelle Adoption von digital assets. Zudem moderiert er den Market Call, ein wiederkehrendes Marktanalyseformat von The Big Whale.

Vor seinem Wechsel zu The Big Whale im Februar 2025 war Bukovski fünf Monate lang als Research Analyst bei The Block tätig, einem auf crypto fokussierten Informationsdienstleister, wo sein erklärter Schwerpunkt auf tokenization lag. Er verfügt über einen Ingenieurabschluss in Finance and Financial Management Services sowie einen Masterabschluss in Investment Management, beide von der Faculty of Technical Sciences der University of Novi Sad in Serbien.

See all articles ↗
Abonnieren Sie The Drop
Der führendes wöchentliches Briefing zu digitalen Assets für Finanzinstitute: unabhängige Analysen, Berichte, Benchmarks und exklusive Veranstaltungen, direkt in Ihr Postfach geliefert.
Read by 30,000 professionals
12.–13. November 2026

Der Genfer Gipfel

Das Corporate Gateway: wo über die Zukunft der On-Chain-Finanzierung entschieden wird. 300 handverlesene Entscheidungsträger. Ein gemeinsames Mandat.
300
Entscheidungsträger
2 Tage
Intensivprogramm