Resolv Labs zerstörte 36,73 Millionen USR-Stablecoins, die ein Angreifer über ein Contract-Upgrade am 6. April 2026 gehalten hatte, nachdem es im März einen Exploit gegeben hatte, bei dem ein kompromittierter Schlüssel es dem Angreifer ermöglichte, 80 Millionen unbesicherte USR-Token zu prägen, mit weniger als $200.000 an anfänglichem Sicherheitenkapital, und anschließend ungefähr 34 Millionen USR für 11.409 ETH abzuverkaufen (im Wert von etwa $24,5 Millionen).
Der Vorfall hat dazu geführt, dass das Protokoll mit einem geschätzten Nettoverlust von ungefähr $34 Millionen konfrontiert ist, obwohl Resolv Labs behauptet, dass sein Sicherheitenpool unversehrt bleibt.
Angreifer nutzte Off-Chain-Minting-Schlüssel, um unbesicherte USR zu erzeugen
Der Exploit entstand durch ein kritisches Versagen im USR-Minting-Flow von Resolv. Ein einzelner Angreifer konnte mithilfe eines kompromittierten Service-Schlüssels in einem zweistufigen Off-Chain-Minting-Prozess 80 Millionen unbesicherte USR-Token erzeugen. Der Angreifer verkaufte anschließend ungefähr 34 Millionen USR über DeFi-Liquiditätspools hinweg, wobei er etwa 11.409 ETH herauszog (im Wert von ungefähr $24,5 Millionen). Die restlichen USR, die der Angreifer hielt, wurden später von Resolv Labs durch ein Contract-Upgrade zerstört und damit insgesamt etwa 46 Millionen USR von der Adresse des Angreifers entfernt.
Der Vorfall führte dazu, dass USR seine Preisbindung verlor und abstürzte, bis auf etwa $0,14, bevor es sich teilweise auf den Bereich von $0,23–$0,27 erholte. On-Chain-Analysefirmen schätzten, dass die Gewinne des Angreifers zwischen $23 Millionen und $25 Millionen lagen, da der Token-Preis auf Curve und anderen Liquiditätspools entkoppelte.
Resolv Labs nutzt Contract-Upgrade, um die Bestände des Hackers zu verbrennen
Etwa eine Stunde vor der Bekanntgabe führte Resolv Labs ein Contract-Upgrade aus, das 36,73 Millionen USR zerstörte, die sich auf der Adresse des Angreifers befanden. Das Team hat insgesamt etwa 46 Millionen USR über das Upgrade von der Adresse des Angreifers entfernt. Der Wert, der bereits in ETH extrahiert wurde—ungefähr 11.409 ETH (im Wert von etwa $24,48 Millionen)—verbleibt jedoch unter Adresse 0x8ED…81C, sodass das Protokoll mit einem realen wirtschaftlichen Schaden von rund $34 Millionen konfrontiert ist.
In seinem Post-Mortem betonte Resolv Labs, dass sein Sicherheitenpool „unversehrt bleibt“, trotz der exploitgetriebenen Prägung von 80 Millionen USR. Allerdings haben Liquiditätsanbieter und verschuldete Nutzer in integrierten Protokollen Kursrückgänge abgefedert und erzwungene Rückabwicklungen durchgeführt. Das Protokoll hatte den Betrieb nach dem Exploit angehalten und einen Wiederherstellungsplan ausgerollt.
DeFi-Key-Management-Risiken durch den USR-Exploit hervorgehoben
Der USR-Exploit ist zu einem Fallbeispiel für Ausfälle im DeFi-Key-Management geworden und zieht Vergleiche mit anderen jüngsten Stablecoin-Ausfällen sowie einer Ansteckung im Lending-Market. Chainalysis beschrieb den Vorfall als einen Fall, in dem es einem Angreifer möglich war, Dutzende Millionen unbesicherter Stablecoins zu prägen und ungefähr $23 Millionen an Wert zu extrahieren, und hob damit hervor, wie ein kompromittierter Service-Schlüssel in einem Off-Chain-Minting-Prozess zu systemischen Verlusten eskalieren kann.
Das Ereignis unterstreicht, wie privilegierte Kontrollen sowohl katastrophale Ausfälle in nominal dezentralen Systemen ermöglichen als auch abmildern können. Für Trader und Investoren belebt der Vorfall langjährige Fragen darüber, ob renditeerzeugende Stablecoins skaliert werden können, ohne einzelne Punkte des Versagens einzuführen. DeFi-Protokolle mit komponierbaren Stablecoins stehen nun unter erneutem Druck, die Minting-Logik zu härten, Keys zu rotieren und die Backend-Infrastruktur mit derselben Strenge zu behandeln wie geprüfte Smart Contracts.
FAQ
Wie ist der Exploit von Resolv Labs passiert?
Der Angreifer kompromittierte einen Service-Schlüssel im zweistufigen Off-Chain-Minting-Prozess von Resolv, wodurch es ihm möglich war, 80 Millionen unbesicherte USR-Token zu prägen, mit weniger als $200.000 an anfänglichem Sicherheitenkapital. Anschließend verkaufte der Angreifer ungefähr 34 Millionen USR gegen 11.409 ETH (etwa $24,5 Millionen), bevor Resolv die restlichen Bestände durch ein Contract-Upgrade verbrannte.
Wie hoch war die finanzielle Auswirkung des Exploits?
Der Angreifer extrahierte ungefähr 11.409 ETH im Wert von etwa $24,5 Millionen. Resolv Labs steht vor einem geschätzten Nettoverlust von ungefähr $34 Millionen, obwohl 36,73 Millionen USR verbrannt wurden, die der Angreifer hielt. Die USR-Stablecoin-Preisbindung entkoppelte sich, fiel bis auf so niedrig wie $0,14, bevor sie sich teilweise erholte.
Welche Maßnahmen hat Resolv Labs nach dem Exploit ergriffen?
Resolv Labs pausierte den Betrieb, rollte einen Wiederherstellungsplan aus und nutzte ein Contract-Upgrade, um 36,73 Millionen USR zu zerstören, die der Angreifer hielt. Das Team entfernte ungefähr 46 Millionen USR von der Adresse des Angreifers. Das Protokoll gab an, dass sein Sicherheitenpool trotz des Exploits unversehrt bleibt.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
