🚨 $100K Einzahlung. $25M gestohlen. 17 Minuten bis zum Crash
Der Resolv Labs USR Exploit ist einer der größten DeFi-Sicherheitsfehler von 2026. Hier ist die vollständige Aufschlüsselung.
Was ging schief?
Ein einzelner kompromittierter privater Schlüssel auf AWS gab dem Angreifer die vollständige Kontrolle über das USR-Minting. Sie haben ~$100K in USDC eingezahlt und 80 Millionen ungesicherte USR-Token geprägt. Der Smart Contract hatte keine Mint-Limits und keine Oracle-Validierung.
Wie der Angreifer ausgezahlt hat
Präged USR wurde in gewickelte gestakte USR (wstUSR) umgewandelt, in USDC und USDT über DEXes getauscht und dann in 11,409 ETH umgewandelt, was ungefähr 25 Millionen Dollar entspricht. Klassischer DeFi-Cashout.
USR fiel von $1 auf $0.025 auf Curve Finance in nur 17 Minuten.
Was hat Resolv seitdem getan?
Das Team hat dauerhaft 46 Millionen Token entfernt, was 57% des illegal geprägten Angebots entspricht. Dies geschah durch direkte Verbrennungen und das Blacklisting von Angreifer-Wallets nach dem Upgrade des wstUSR-Vertrags.
Derzeit befinden sich keine illegalen USR mehr auf von Angreifern kontrollierten Adressen.
Warum das für jeden DeFi-Nutzer wichtig ist
Resolv hat 18 Smart Contract-Audits abgeschlossen, bevor dies geschah. Der Code war in Ordnung. Die Schwachstelle lag in der Off-Chain-Infrastruktur, speziell bei einem einzelnen privaten Schlüssel ohne Multisig-Schutz, der den gesamten Minting-Prozess kontrollierte.
Dies beweist, dass die Sicherheit von Smart Contracts allein nicht ausreicht. Schlüsselmanagement, Zugangskontrollen und Echtzeit-On-Chain-Überwachung sind ebenso wichtig.
Aktuelle Situation:
Das Protokoll ist funktional insolvent (~$95M Vermögenswerte vs. höhere Verbindlichkeiten). Der USR-Peg ist nicht wiederhergestellt. Rückzahlungen sind nur für vor dem Exploit gehaltene Token über ein Allowlist-System verfügbar. Das Team koordiniert mit den Strafverfolgungsbehörden.
Vermeiden Sie den Handel mit USR oder verwandten Resolv-Token während der Wiederherstellungsphase.