Resolv Protocol Gehackt: $25 Miljoen Gestolen via USR Stablecoin Kwetsbaarheid

Belangrijkste Hoogtepunten

• Een geavanceerde aanvaller maakte misbruik van een kwetsbaarheid in het USR-minting-mechanisme van Resolv en genereerde ongeveer 80 miljoen niet-gedekte tokens vanuit een initiële storting van slechts $200.000 in USDC
• De hacker wist met succes 11.409 ETH te onttrekken, ter waarde van ongeveer $25 miljoen
• De waarde van USR stortte in tot $0,025 op Curve Finance voordat er een gedeeltelijk herstel plaatsvond tot ongeveer $0,85
• Resolv heeft alle protocolactiviteiten opgeschort; hoewel het team claimt dat de collateralpool veilig blijft, leden USR-tokenhouders aanzienlijke verliezen door aanbod-inflatie
• Grote DeFi-platforms waaronder Morpho, Lido en Aave reageerden snel om hun blootstelling te beoordelen en te beperken

Een kritieke beveiligingsschending trof de USR-stablecoin van Resolv op zondag, waarbij een aanvaller kwetsbaarheden in de minting-infrastructuur misbruikte om ongeveer 80 miljoen niet-gedekte tokens te genereren, wat uiteindelijk resulteerde in het weglekken van ongeveer $25 miljoen aan Ether uit het protocol.

De kwaadaardige activiteit begon rond 02:21 uur UTC. De dader startte de aanval door 100.000 USDC te storten in het USR Counter-contract van Resolv en ontving daarvoor een astronomisch bedrag van 50 miljoen USR — ongeveer 500 keer het legitieme bedrag. Een vervolgtransactie produceerde nog eens 30 miljoen tokens.

Na de ongeautoriseerde minting wisselde de aanvaller systematisch de frauduleuze USR om voor USDC en USDT via verschillende gedecentraliseerde exchanges en consolideerde vervolgens de opbrengst in ETH. De wallet van de aanvaller bevat momenteel 11.409 ETH, wat neerkomt op ongeveer $23,7 miljoen aan huidige marktwaarde.

USR, ontworpen om een prijskoppeling van $1 te handhaven, stortte catastrofaal in tot $0,025 op Curve Finance slechts 17 minuten na de initiële minting-transactie. Hoewel de token een gedeeltelijk herstel ervoer tot ongeveer $0,85, bleef deze significant losgekoppeld op zondagochtend.

Ondanks deze verzekeringen benadrukten blockchain-analisten dat bestaande USR-houders substantiële schade leden. De massale instroom van 80 miljoen nieuw geminte tokens verdunde de circulerende voorraad ernstig, terwijl de agressieve verkoop van de aanvaller de beschikbare poolliquiditeit uitputte. Alle investeerders die USR aanhielden tijdens het incident ervoeren onmiddellijke portefeuilleverliezen.

Beveiligingsfouten Herleid tot Inadequaat Toegangsbeheer

Blockchain-beveiligingsanalist Andrew Hong identificeerde de oorsprong van de schending als een bevoorrecht account aangewezen als de SERVICE_ROLE. Dit kritieke account werd gecontroleerd door een enkel extern eigendomsaccount in plaats van een veiligere multisignature wallet. Het minting-contract miste essentiële beveiligingen zoals oracle-verificatie, bedragvalidatieprotocollen en maximale minting-drempels.

Pashov, een beveiligingsbedrijf dat eerder in juli 2025 de staking-module van Resolv auditeerde, informeerde Cointelegraph dat het fundamentele probleem lijkt voort te komen uit een compromittering van een private key in plaats van inherente zwaktes in het architecturele ontwerp van het protocol.

De officiële website van Resolv documenteert 14 afzonderlijke audit-opdrachten uitgevoerd door vijf verschillende beveiligingsbedrijven, een bug bounty-programma van $500.000 gehost op Immunefi, en voortdurende smart contract-surveillancesystemen.

DeFi-ecosysteem Reageert om Gevolgen te Beperken

Talrijke DeFi-platforms implementeerden snelle responsmaatregelen na de exploit. Lido bevestigde dat gebruikersfondsen gestort in Lido Earn veilig bleven. Aave-oprichter Stani Kulechov verklaarde dat het platform geen directe USR-blootstelling had en bevestigde dat Resolv actief uitstaande schulden aan het terugbetalen was. Morpho-medeoprichter Merlin Egalite verduidelijkte dat alleen specifieke vaults USR-blootstelling hadden.

Besmettingseffecten Verspreiden zich door Leenecosystemen

Zowel USR als zijn gestakete derivaat wstUSR waren goedgekeurd als onderpandactiva op platforms zoals Morpho en Gauntlet. Marktanalisten merkten op dat opportunistische handelaren mogelijk USR hebben gekocht tegen de ernstig gedisconteerde prijs en dit hebben gebruikt om USDC te lenen tegen de volledige $1-waardering, waardoor liquiditeitsreserves uit getroffen vaults werden geleegd.

De junior verzekeringsschijf van Resolv, RLP, loopt ook potentiële kapitaalschade op. Stream Finance, met een substantiële positie van 13,6 miljoen RLP ter waarde van ongeveer $17 miljoen, zou bijkomende verliezen kunnen doorgeven aan zijn depositobasis. Stream maakte eerder in november 2025 een verlies van $93 miljoen bekend.

De RESOLV governance-token daalde ongeveer 8,5% in de periode van 24 uur na de beveiligingsschending.

Dit Resolv-incident illustreert een breder sectorpatroon. Volgens een recent Immunefi-rapport veroorzaakt de gemiddelde cryptocurrency-hack nu schade van ongeveer $25 miljoen, waarbij de vijf grootste exploits tijdens 2024–2025 62% van het totaal gestolen vermogen vertegenwoordigen.

De post Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability verscheen eerst op Blockonomi.