Resolv: Keine Assets verloren bei $24M USR-Exploit

Resolv Labs wehrt sich gegen das Worst-Case-Szenario, nachdem ein Exploit am Sonntag das Prägungssystem des USR Stablecoin getroffen hat. Das Unternehmen teilt den Nutzern mit, dass der Sicherheitenpool unberührt sei — obwohl ein Angreifer mit rund $24 Millionen in ETH davonkam und der Token kurzzeitig 86% seines Wertes verlor.

Was ist mit dem USR Stablecoin passiert?

Ein unbekannter Angreifer nutzte die Prägungsmechanismen des USR Stablecoin aus, erzeugte 80 Millionen ungedeckte Token und leitete sie über DeFi-Liquiditätspools, um die Position abzustoßen. Der resultierende Verkaufsdruck war brutal — USR fiel von seiner $1-Bindung bis auf $0,14, ein 86%-Einbruch, bevor er sich bis zu dem Zeitpunkt, als Analysten den Schaden verfolgten, in Richtung $0,42 erholte.

On-Chain-Daten von Arkham, verifiziert durch die Web3-Sicherheitsfirma Cyvers, verfolgten den Verbleib der Erlöse: Der Großteil der geprägten USR wurde in Ether getauscht und ergab rund 11.400 ETH — zum damaligen Zeitpunkt etwa $24 Millionen wert. Ein unabhängiger Analyst wies darauf hin, dass 36,74 Millionen USR-Token noch abgestoßen wurden, während sich die Geschichte entwickelte, was darauf hindeutete, dass die Auflösung noch nicht abgeschlossen war.

Der Sicherheitenpool bleibt vollständig intakt. Das Problem scheint auf die USR-Ausgabemechanismen beschränkt zu sein.

Wie reagierten DeFi-Protokolle?

Sobald sich die Nachricht verbreitete, bemühten sich DeFi-Protokolle mit jeglicher USR-Exposure, ihre Positionen zu bewerten und zu kommunizieren. Der Liquid-Staking-Anbieter Lido erklärte, dass die Gelder der Lido-Earn-Nutzer sicher seien. Morpho-Mitgründer Merlin Egalite stellte klar, dass die eigenen Verträge des Lending-Protokolls unberührt blieben, obwohl bestimmte Vaults eine Exposure aufwiesen. Aave-Gründer Stani Kulechov sagte, die Plattform habe keinerlei direkte USR-Exposure und Resolv tilge aktiv seine ausstehenden Schulden gegenüber dem Protokoll.

Protokolle wie Euler, Venus, Lista und Fluid ergriffen Vorsichtsmaßnahmen — sie pausierten Märkte oder isolierten betroffene Vaults — während andere erklärten, keinerlei Beteiligung zu haben. Michael Pearl, VP of GTM and Strategy bei Cyvers, bezeichnete den Schadensradius als begrenzt und nicht systemisch: Die Exposure schien auf Lending-Märkte und Hebelpositionen rund um USR, wstUSR oder RLP konzentriert zu sein und hatte sich nicht über die breitere DeFi-Landschaft ausgebreitet.

Der X-Account „yieldsandmore" äußerte Bedenken über mögliche Verluste in Resolvs nachrangiger RLP-Tranche — ein Detail, das für Yield-Plattformen wie Stream und yoUSD, die RLP als Sicherheit nutzten, von Bedeutung ist. Dieser besondere Dominoeffekt erhielt weit weniger Berichterstattung als die Schlagzeilen-Depeg-Zahl und verdient wahrscheinlich mehr Aufmerksamkeit.

Es ist zutreffender, das Risiko als konzentriert mit lokalem Übergreifen zu beschreiben, als von einer weitverbreiteten Ansteckung zu sprechen.

War dies ein Ereignis vom Ausmaß Terra Lunas?

Kurze Antwort: Nein. Ledger-CTO Charles Guillemet bewertete die Situation auf X und zog diesen Vergleich explizit — er stellte fest, dass angesichts der relativ kleinen Marktpräsenz von USR „dies kein Terra-Luna-artiges Ereignis ist." Diese Einordnung ist wichtig, weil Ansteckungsängste im Kryptobereich dazu neigen, sich schnell auszubreiten und überzuschießen.

Dennoch bedarf die Schlagzeile „keine Vermögenswerte verloren" von Resolv Labs einer Einordnung. Der Sicherheitenpool mag durchaus intakt sein, aber ein Angreifer hat rund $24 Millionen in ETH aus dem System extrahiert, indem er ausnutzte, wie Token geprägt wurden. Ob das als Verlust zählt, hängt stark davon ab, wie man die Grenzen des Systems definiert. Inhaber der RLP-Tranche dürften das anders sehen, als es die Stellungnahme des Teams nahelegt.

Pearls weitergehender Punkt zum Monitoring verdient Beachtung: Resolvs Smart Contracts wurden seit 2024 mehrfach auditiert, und dennoch geschah der Exploit. Sein Argument — dass statische Audits durch Echtzeit-, KI-gestützte Anomalieerkennung bei Präge- und Verbrennungsströmen, Oracle-Eingaben und Reservevalidierung ergänzt werden müssen — spiegelt eine Reifung wider, die die Branche noch nicht vollständig verinnerlicht hat.

Die Ursache lag weniger im Design als vielmehr in der Kompromittierung eines privaten Schlüssels, was wahrscheinlich eine Schwachstelle in der operativen Sicherheit war.

Was bedeutet das für die Sicherheit von Stablecoins?

Das Ergebnis von Pashov trifft den Kern dessen, warum dieser Vorfall schmerzt: Es war keine raffinierte Smart-Contract-Schwachstelle. Ein privater Schlüssel wurde kompromittiert. Das ist ein Versagen der operativen Sicherheit — die Art von Problem, die keine noch so gründliche Code-Prüfung im Nachhinein erkennen kann. Man kann die Mathematik den ganzen Tag auditieren; wenn die Schlüssel offengelegt sind, spielt die Architektur keine Rolle.

Pearl beschrieb, wie ein angemessenes Monitoring für Stablecoin-Systeme aussieht — kontinuierliche Validierung des Angebots gegenüber den Reserven, Echtzeit-Verfolgung von Präge- und Verbrennungsströmen im Vergleich zum erwarteten Verhalten und Anomalieerkennung bei Oracle-Preisen. Nichts davon ist exotisch. Es ist nur schwer, das konstant zu betreiben, und die meisten Protokolle investieren erst darin, wenn etwas schiefgeht.

Resolv Labs hatte bis zum Zeitpunkt der Veröffentlichung dieses Artikels nicht auf Anfragen nach einer Stellungnahme reagiert. Das Protokoll hatte Funktionen pausiert, während Eindämmung und Schadensbewertung andauerten. Ob die USR-Bindung vollständig wiederhergestellt wird — und ob RLP-Yield-Plattformen ihre Verluste still oder laut absorbieren — wird der eigentliche Test dafür sein, wie groß der tatsächliche Schaden war.