- Der Angreifer prägte 80 Millionen ungedeckte USR mit 100.000–200.000 US-Dollar und erhielt 23 Millionen bis 25 Millionen Dollar in ETH.
- Die Hauptursache waren kompromittierte private Schlüssel ohne On-Chain-Mint-Limits oder Oracle-Checks.
- USR verlor innerhalb von Minuten seinen Peg und fiel unter 0,40 US-Dollar, mit Tiefstwerten nahe 0,02 US-Dollar.
Resolv Labs bestätigte am 22. März 2026, dass sein USR-Stablecoin-Minting-System ausgenutzt wurde. Ein Angreifer erhielt Zugang zu privaten Schlüsseln und prägte 80 Millionen nicht gesicherte USR-Token.
Der Angreifer verwendete nur 100.000 bis 200.000 Dollar als anfängliche Sicherheit. Diese Eingabe hätte eine kleine Menge USR prägen sollen, aber das System ermöglichte die Schaffung von zig Millionen Millionen.
Der Angreifer konvertierte USR in seine staked Version (wstUSR), wechselte dann in andere Stablecoins, darunter Circles USDC, und schließlich in Ether. On-Chain-Daten zeigen eine Gesamtabnahme von etwa 23 bis 25 Millionen Dollar in ETH.
Ursache: Private Key-Kompromittierung, kein Codefehler
Der Exploit entstand nicht durch einen Fehler in Smart Contracts, und das System funktionierte wie programmiert. Das Scheitern entstand durch Off-Chain-Infrastruktur.
Der Angreifer kompromittierte das AWS-Schlüsselverwaltungssystem von Resolve und erlangte die Kontrolle über einen privilegierten Signing-Schlüssel. Dieser Schlüssel hatte die Befugnis, Prägungsmengen zu genehmigen.
Der Vertrag prüfte nur eine gültige Unterschrift und hatte kein maximales Mint-Limit, kein Preisorakel und keine Überprüfung der Collateral Ratio.
Zwei Haupttransaktionen zeigen das Umfang: 50 Millionen USR geprägt bzw. 30 Millionen USR prägt, wobei 80 Millionen USR mit minimaler Unterstützung geschaffen wurden. Sobald die Angreifer den Schlüssel kompromittiert hatten, ermöglichten sie unbegrenztes Token-Minting.
Ansteckung breitet sich über DeFi-Protokolle aus
Der Schaden blieb nicht innerhalb von Resolv. Auch Protokolle, die mit USR integriert sind, erlitten Rückschläge. Morpho Labs berichtete über seine kuratierten Kredittresore. Der Exploit betraf etwa 15 Tresore, die jeweils mehr als 10.000 Dollar enthielten.
Kuratoren, darunter Gauntlet, Re7 Labs, KPK und 9Summits, hatten Pools, die an USR angeschlossen waren. Einige automatisierte Systeme stellten auch nach dem Exploit weiterhin Liquidität bereit, was die Verluste verschärfte.
Morpho sagte, seine Kernverträge blieben sicher, das Risiko sei auf Kuratoren beschränkt.
USR Stablecoin verliert Kopf, da der Kurs unter 0,40 $ abstürzt
Der plötzliche Angebotsschock brach das System sofort, da USR innerhalb von Minuten seinen Dollar-Peg verlor.
Daten zeigen, dass der Token unter 0,40 $ fiel, mit Tiefstwerten bei etwa 0,02 $ in einigen Feeds. Chainalysis schätzt einen Zusammenbruch von 80 % bei der Spitze der Panik vor einer teilweisen Erholung.
Das Protokoll schaltete Mint- und Redeem-Funktionen sofort ab, um weiteren Schaden zu verhindern. Gleichzeitig versuchte der Angreifer weitere Prägungen, was das Team zu einer schnellen Reaktion zwang.
USR-Inhaber blieben exponiert, da die Liquiditätspools mit nicht gesicherten Token überflutet wurden.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
