Op zondag 22 maart verloor de stablecoin USR — uitgegeven door het Resolv-protocol — zijn dollarpariteit nadat een aanvaller misbruik maakte van een gecompromitteerde privésleutel om ongeveer 80 miljoen tokens te minten tegen een verwaarloosbare onderpandstorting.
Het incident resulteerde in een geschatte extractie van $25 miljoen en veroorzaakte cascaderende effecten op verschillende DeFi-platforms, waardoor Resolv gedwongen werd de activiteiten stil te leggen.
De omvang van de aanval
Het mechanisme was niet, strikt genomen, een hack in de conventionele zin: er werden geen onderpandreserves buitgemaakt. De aanvaller kreeg toegang tot een bevoorrechte ondertekeningssleutel die was opgeslagen binnen de AWS Key Management Service-omgeving van het protocol.
Met die inloggegevens dienden zij twee minttransacties in: eerst 50 miljoen USR tegen ongeveer 100.000 USDC, daarna nog eens 30 miljoen USR. De nieuw geminte, niet-gedekte tokens werden vervolgens gedumpt in liquiditeitspools van gedecentraliseerde beurzen — met name de USR/USDC-pool van Curve — om reële waarde te onttrekken.
Het pad van de aanvaller liep van geminte USR via wstUSR (een gestakete USR-afgeleide), vervolgens naar stablecoins, en uiteindelijk naar ETH: in totaal 11.400 munten ter waarde van ongeveer $24,4 miljoen en 20 miljoen wstUSR.
USR kelderde kortstondig naar ongeveer $0,20 voordat het stabiliseerde rond $0,26, een afwijking van 80% ten opzichte van de beoogde pariteit.
Wat deze episode bijzonder leerzaam maakt, is niet het sleutelcompromis zelf — dat valt binnen een goed gedocumenteerde categorie van operationele beveiligingsfouten — maar het ontbreken van elementaire waarborgen in de smart contract-architectuur.
De mintfunctie legde geen limiet op per transactie of per tijdsvenster. Er werd geen validatie uitgevoerd van de verhouding tussen gestort onderpand en geminte tokens. Er werd geen prijsorakel geraadpleegd. Kortom, zodra de aanvaller de bevoorrechte sleutel in handen had, bood het protocol geen tweede verdedigingslinie.
>> Ontdek ons stablecoin-dashboard
De aangerichte schade
De besmetting verspreidde zich met kenmerkende DeFi-snelheid.
De pool van Curve werd leeggetrokken, waardoor de CRV-token bijna 5% daalde. Op Morpho, waar USR diende als onderliggende waarde in verschillende leenkluisjes, was de schade structureler: de USDC Frontier-kluis van Gauntlet zag $85,66 miljoen aan stortingen vertrekken, de Core-kluis nog eens $17 miljoen, en in totaal werden meer dan tien kluizen op het platform getroffen.
Er kwam ook blootstelling aan het licht op Euler en bij diverse Midas-producten, waaronder mBASIS, mAPOLLO en mEDGE. De token van Morpho daalde ongeveer 5% voordat deze herstelde. Het Resolv-team heeft verklaard dat de onderliggende onderpandreserves niet zijn gecompromitteerd.
>> MEV Capital: Anatomie van een ineenstorting en overname door Belem Capital
Het standpunt van The Big Whale
De snelheid van besmetting blijft het belangrijkste onderscheid tussen gedecentraliseerde en traditionele financiële infrastructuur: in conventionele markten ontvouwt vergelijkbare risicotransmissie zich doorgaans over dagen, waardoor intermediairs tijd krijgen om zich in te dekken, te communiceren en in te grijpen.
Hier speelde de kettingreactie zich binnen enkele uren af.
Meer fundamenteel illustreert dit incident waarom institutionele kapitaalinzet in gedecentraliseerde protocollen nog steeds voorzichtig verloopt.
De kwetsbaarheid was niet exotisch. Controle met één sleutel over kritieke functies, het ontbreken van limieten op minting, en het ontbreken van orakelgebaseerde validatie zijn allemaal bekende faalmodi, uitgebreid gedocumenteerd in de auditliteratuur.
Dat deze blijven bestaan in een protocol dat met aanzienlijk kapitaal omgaat, wijst op een tekort niet zozeer in technologie, maar in de beveiligingsgovernance-normen die de sector nog moet formaliseren.
Totdat die normen bestaan en onafhankelijk worden gehandhaafd, zullen episodes als deze de tijdlijn voor grootschalige institutionele adoptie van DeFi-infrastructuur blijven vertragen — ongeacht hoe zorgvuldig individuele kluisbeheerders of vermogensallocators ook zijn.
Een gecompromitteerde sleutel stelde een aanvaller in staat om 80 miljoen niet-gedekte USR-tokens te minten, waardoor de stablecoin met 80% crashte. De $25 miljoen-exploit legde kritieke beveiligingslacunes in DeFi bloot en veroorzaakte schokgolven bij Curve, Morpho en meer.
%201.png)
%201.png)
%201.png)
%201.png)
%201.png)
