Resolv Protocol gehackt: 25 Millionen Dollar durch USR Stablecoin-Schwachstelle abgezogen

Wichtigste Highlights

• Ein ausgeklügelter Angreifer nutzte eine Schwachstelle im USR-Minting-Mechanismus von Resolv aus und generierte aus einer Ersteinzahlung von nur 200.000 $ in USDC etwa 80 Millionen ungedeckte Token
• Der Hacker extrahierte erfolgreich 11.409 ETH im Wert von etwa 25 Millionen $
• Der Wert von USR stürzte auf Curve Finance auf 0,025 $ ab, bevor er sich teilweise auf etwa 0,85 $ erholte
• Resolv hat alle Protokolloperationen ausgesetzt; während das Team behauptet, dass der Kollateralpool sicher bleibt, erlitten USR-Token-Inhaber aufgrund der Angebotsinflation erhebliche Verluste
• Große DeFi-Plattformen, darunter Morpho, Lido und Aave, reagierten schnell, um ihr Risiko zu bewerten und zu mindern

Am Sonntag erlitt Resolvs USR Stablecoin eine kritische Sicherheitsverletzung, bei der ein Angreifer Schwachstellen in der Minting-Infrastruktur ausnutzte, um etwa 80 Millionen ungedeckte Token zu generieren und letztendlich Ether im Wert von etwa 25 Millionen $ aus dem Protokoll zu entwenden.

Die bösartige Aktivität begann um etwa 02:21 Uhr UTC. Der Täter initiierte den Angriff, indem er 100.000 USDC in Resolvs USR Counter-Vertrag einzahlte und astronomische 50 Millionen USR als Gegenleistung erhielt – etwa das 500-fache des legitimen Betrags. Eine Folgetransaktion erzeugte weitere 30 Millionen Token.

Nach dem unbefugten Minting tauschte der Angreifer systematisch die betrügerischen USR über verschiedene dezentralisierte Börsen gegen USDC und USDT und konsolidierte anschließend die Erlöse in ETH. Die Wallet des Angreifers enthält derzeit 11.409 ETH, was etwa 23,7 Millionen $ zum aktuellen Marktwert entspricht.

USR, entwickelt zur Aufrechterhaltung einer Preisbindung von 1 $, brach auf Curve Finance katastrophal auf 0,025 $ zusammen, nur 17 Minuten nach der ersten Minting-Transaktion. Während der Token eine teilweise Erholung auf etwa 0,85 $ erlebte, blieb er am Sonntagmorgen erheblich vom Peg abgekoppelt.

Trotz dieser Zusicherungen betonten Blockchain-Analysten, dass bestehende USR-Inhaber erheblichen Schaden erlitten. Der massive Zufluss von 80 Millionen neu geprägten Token verwässerte das Umlaufangebot erheblich, während die aggressive Verkaufsstrategie des Angreifers die verfügbare Pool-Liquidität erschöpfte. Alle Investoren, die während des Vorfalls USR hielten, erlitten sofortige Portfolioverluste.

Sicherheitslücken auf unzureichende Zugriffsverwaltung zurückgeführt

Blockchain-Sicherheitsanalyst Andrew Hong identifizierte den Ursprung der Sicherheitsverletzung als privilegiertes Konto, das als SERVICE_ROLE bezeichnet wurde. Dieses kritische Konto wurde von einem einzigen extern verwalteten Konto kontrolliert und nicht von einer sichereren Multi-Unterschriften Wallet. Dem Minting-Vertrag fehlten wesentliche Schutzmaßnahmen, darunter Oracle-Verifizierung, Validierungsprotokolle für Beträge und maximale Minting-Schwellenwerte.

Pashov, ein Sicherheitsunternehmen, das zuvor im Juli 2025 Resolvs Staking-Modul geprüft hatte, teilte Cointelegraph mit, dass das grundlegende Problem offenbar aus einer Kompromittierung des privaten Schlüssels resultiert und nicht aus inhärenten Schwächen im architektonischen Design des Protokolls.

Die offizielle Website von Resolv dokumentiert 14 separate Audit-Aufträge, die von fünf verschiedenen Sicherheitsfirmen durchgeführt wurden, ein Bug-Bounty-Programm über 500.000 $, das auf Immunefi gehostet wird, und laufende Smart Contract-Überwachungssysteme.

DeFi-Ökosystem reagiert zur Schadensbegrenzung

Zahlreiche DeFi-Plattformen implementierten nach dem Exploit schnelle Reaktionsmaßnahmen. Lido bestätigte, dass die in Lido Earn eingezahlten Nutzermittel sicher blieben. Aave-Gründer Stani Kulechov erklärte, die Plattform habe keine direkte USR-Exposition und bestätigte, dass Resolv ausstehende Schulden aktiv zurückzahle. Morpho-Mitgründer Merlin Egalite stellte klar, dass nur bestimmte Vaults USR-Exposition hatten.

Ansteckungseffekte breiten sich durch Kredit-Ökosysteme aus

Sowohl USR als auch sein Staking-Derivat wstUSR wurden als Kollateralwerte / Vermögenswerte als Garantie auf Plattformen wie Morpho und Gauntlet genehmigt. Marktanalysten beobachteten, dass opportunistische Händler möglicherweise USR zu seinem stark reduzierten Preis erworben und es genutzt haben, um USDC zur vollen Bewertung von 1 $ zu leihen, wodurch effektiv Liquiditätsreserven aus betroffenen Vaults entzogen wurden.

Resolvs Junior-Versicherungstranche RLP sieht sich ebenfalls einer potenziellen Kapitalbeeinträchtigung gegenüber. Stream Finance, das eine erhebliche RLP-Position von 13,6 Millionen im Wert von etwa 17 Millionen $ hält, könnte zusätzliche Verluste an seine Einlegerbasis weitergeben. Stream hatte zuvor im November 2025 einen Verlust von 93 Millionen $ offengelegt.

Der RESOLV-Governance-Token sank in der 24-Stunden-Periode nach der Sicherheitsverletzung um etwa 8,5 %.

Dieser Resolv-Vorfall veranschaulicht ein breiteres Branchenmuster. Laut einem aktuellen Immunefi-Bericht verursacht der durchschnittliche Kryptowährungs-Hack nun Schäden von etwa 25 Millionen $, wobei die fünf größten Exploits in den Jahren 2024–2025 62 % der insgesamt gestohlenen Mittel ausmachen.

Der Beitrag Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability erschien zuerst auf Blockonomi.