coin-img-ETHETH+4.08%coin-img-BTCBTC+2.91%coin-img-SOLSOL+4.41%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.91%coin-img-LUCKLUCK-50.42%coin-img-AITOAITO-46.41%coin-img-XRPXRP+4.51%coin-img-ETHETH+4.08%coin-img-BTCBTC+2.91%coin-img-SOLSOL+4.41%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.91%coin-img-LUCKLUCK-50.42%coin-img-AITOAITO-46.41%coin-img-XRPXRP+4.51%coin-img-ETHETH+4.08%coin-img-BTCBTC+2.91%coin-img-SOLSOL+4.41%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.91%coin-img-LUCKLUCK-50.42%coin-img-AITOAITO-46.41%coin-img-XRPXRP+4.51%coin-img-ETHETH+4.08%coin-img-BTCBTC+2.91%coin-img-SOLSOL+4.41%coin-img-BPBP+145.00%coin-img-AGQAGQ-80.91%coin-img-LUCKLUCK-50.42%coin-img-AITOAITO-46.41%coin-img-XRPXRP+4.51%

Resolv's Stablecoin USR verliert Dollarbindung nach Hack: 80 Mio. ungedeckte Tokens geprägt, rund 25 Mio. US-Dollar in ETH abgezogen

Stablecoins gelten im Kryptomarkt als Brücke zwischen klassischem Finanzsystem und Web3. Umso gravierender wirkt ein Vorfall, der Resolv's Stablecoin USR erschüttert hat: Am 22. März 2025 nutzten Angreifer eine Schwachstelle im Minting-Contract, prägten rund 80 Millionen nicht besicherte USR und zogen etwa 25 Mio. US-Dollar in ETH ab. In der liquidesten Curve-Finance-Pool-Notierung fiel USR kurzzeitig auf 0,025 US-Dollar, erholte sich später auf etwa 0,85 US-Dollar. Die 1:1-Bindung an den US-Dollar war bis Sonntagvormittag nicht wiederhergestellt. Angriff und Ablauf Mehrere Blockchain-Sicherheitsfirmen bestätigten den Exploit. Nach Angaben des X-Accounts YieldsAndMore begann der Angriff gegen 02:21 UTC. Etherscan-Daten zeigen, dass der Angreifer 100.000 USDC in Resolv's USR-Counter-Contract einzahlte und dafür 50 Mio. USR erhielt, rund 500-mal mehr als erwartet. Über eine zweite Transaktion wurden weitere 30 Mio. USR gemintet. Kurssturz und Abverkauf über DEX USR ist als dollarstabiler Coin konzipiert, der eine delta-neutrale Hedging-Strategie nutzt und durch ETH und BTC, nicht durch Fiat-Reserven, gedeckt sein soll. Laut DEX Screener rutschte der Kurs innerhalb von 17 Minuten nach dem ersten Minting im Curve-Pool auf 0,025 US-Dollar ab. Danach setzte eine Erholung ein, die Dollarbindung blieb aber aus. Zu den Abflüssen: Über eine Adresse beginnend mit 0x04A2 tauschte der Angreifer die frisch geprägten USR auf einer dezentralen Börse in USDC und USDT und konvertierte die Erlöse anschließend in ETH. Onchain-Daten zufolge hält das Wallet zum Zeitpunkt der Veröffentlichung 11.409 ETH im Wert von rund 23,7 Mio. US-Dollar. Ein weiteres dem Angreifer zugeordnetes Wallet hält wstUSR im Gegenwert von etwa 1,1 Mio. US-Dollar. Reaktion von Resolv Labs Resolv Labs erklärte auf X, alle Protokollfunktionen seien ausgesetzt worden. Der Collateral-Pool sei "vollständig intakt", es gebe "keinen Verlust der zugrunde liegenden Assets". Das Problem sei auf den "USR-Issuance-Mechanismus" begrenzt. Ursache: Privilegierte Minting-Rolle, schwache Zugriffskontrollen Analysten führen den Vorfall auf eine privilegierte Minting-Rolle zurück, die von einem externen Account gesteuert wurde und weder Minting-Limits noch Oracle-Prüfungen kannte. Chain-Analyst Andrew Hong machte die SERVICE_ROLE verantwortlich, ein privilegiertes Konto zur Erfüllung von Swap-Anfragen. Diese Rolle sei über ein klassisches Externally Owned Account (EOA) statt über eine Multisig-Struktur kontrolliert worden. Zudem habe der Minting-Contract Oracle-Checks, Mengenvalidierung und maximale Minting-Grenzen vermissen lassen. D2 Finance nannte drei mögliche Erklärungen: Oracle-Manipulation, kompromittierte Offchain-Signer oder fehlende Validierung der Beträge zwischen Minting-Anfrage und Ausführung. YieldsAndMore ergänzte, die Governance-Mechanismen des Resolv Protocol hätten nicht das Sicherheitsniveau gehabt, das der Größenordnung entspreche. Deddy Lavid, CEO von Cyvers, sagte gegenüber The Block: "Sich nur auf Audits zu verlassen, reicht nicht aus. Wenn man Minting und Umlaufmenge nicht in Echtzeit überwacht, ist man in den kritischsten Momenten blind." Folgen für Halter: Verwässerung, Liquiditätsstress und Ansteckungseffekte Auch wenn Resolv's Aussage zum intakten Collateral-Pool technisch zutreffen kann, beschreibt sie die wirtschaftlichen Schäden nur unzureichend. Der Angriff gilt als "Supply Inflation": Durch die zusätzlichen 80 Mio. Tokens wurde das bestehende Angebot verwässert. Der anschließende Abverkauf zerstörte die Liquidität im Markt, USR-Halter erlitten sofort Verluste. Zusätzliche Risiken ergeben sich in DeFi-Kreditmärkten. USR und das gestakte Derivat wstUSR wurden bei Plattformen wie Morpho und Gauntlet als Sicherheit akzeptiert. Spekulative Händler könnten USR mit Abschlag gekauft und anschließend USDC zum festen 1-Dollar-Wert geliehen haben, was Stablecoin-Liquidität in betroffenen Vaults abziehen kann. D2 Finance berichtete, dass auch von Gauntlet verwaltete Morpho-Vaults betroffen waren. Auch nachrangige Strukturen könnten unter Druck geraten. Der Resolv Liquidity Pool (RLP) dient als eine Art Versicherungsschicht, um Verluste aufzufangen und USR-Halter zu schützen. Vor dem Exploit lag der Umlaufwert laut Angaben bei rund 38,6 Mio. US-Dollar. YieldsAndMore zufolge hält Stream 13,6 Mio. RLP-Anteile mit einer Nettoexponierung von rund 17 Mio. US-Dollar, womit auch Einzahler dort weitere deutliche Verluste riskieren. Marktdaten CoinMarketCap zufolge sank die USR-Marktkapitalisierung von etwa 400 Mio. US-Dollar Anfang Februar auf rund 100 Mio. US-Dollar vor dem Angriff. Der Governance-Token RESOLV gab in den vergangenen 24 Stunden um etwa 8,5% nach. Unternehmenshintergrund und wachsende Hack-Serie Resolv schloss im April 2025 eine Seed-Finanzierung über 10 Mio. US-Dollar ab, angeführt von Cyber.Fund und Maven11. Beteiligt waren Coinbase Ventures, Arrington Capital und Animoca Ventures. Das Projekt wurde von Delphi Labs inkubiert. Auf der Resolv-Website werden 14 Audit-Projekte für fünf Unternehmen, ein Immunefi-Bug-Bounty-Programm über 500.000 US-Dollar sowie laufendes Smart-Contract-Monitoring genannt. Der Vorfall reiht sich in eine Serie großer DeFi-Angriffe ein. Im Januar verlor Truebit 26,6 Mio. US-Dollar, nachdem eine Schwachstelle in einem vor fünf Jahren deployten Smart Contract ausgenutzt wurde. Ebenfalls im Januar gingen in einem Stablecoin-Pool von Makina Finance rund 5 Mio. US-Dollar verloren, nachdem Angreifer per Flash Loans das Oracle manipulierten. Ein Immunefi-Bericht von letzter Woche beziffert den durchschnittlichen Schaden pro Krypto-Hack aktuell auf rund 25 Mio. US-Dollar; die fünf größten Attacken zwischen 2024 und 2025 machten demnach 62% aller entwendeten Mittel aus. Regulierung im Blick: Yield-Bearing Stablecoins Politisch fällt der Zeitpunkt in eine Phase, in der US-Gesetzgeber im Rahmen des GENIUS Act über die Regulierung von "yield-bearing" Stablecoins diskutieren. Die American Bankers Association warnte, solche Produkte könnten Einlagen aus dem Bankensystem abziehen. Mehrere einflussreiche Senatoren erzielten am vergangenen Freitag eine "grundsätzliche Einigung", wie Stablecoin-Renditen regulatorisch behandelt werden sollen. Fazit Der USR-Schock zeigt, wie schnell komplexe DeFi-Architekturen durch Schwächen bei Zugriffskontrollen, Validierungslogik und operativem Monitoring aus dem Gleichgewicht geraten können. Auch ohne direkten Abfluss aus dem Collateral-Pool kann eine Angebotsverwässerung die Marktliquidität zerstören und das Vertrauen in hochverzinsliche Stablecoin-Konstruktionen massiv beschädigen.
Ausgewählt
ETH
ETH+4.07%
BTC
BTC+2.98%
Haftungsausschluss: Die obigen Inhalte geben lediglich die Meinung des Autors wieder und spiegeln nicht die Haltung von BingX wider. Sie stellen keine Anlageberatung durch BingX dar. Details finden Sie in den Geschäftsbedingungen.