Ein Sicherheitsproblem bei Resolv Labs hat es einem Angreifer ermöglicht, mehr als 80 Millionen USD an ungedeckten USR-Stablecoins zu erzeugen. Dadurch hat der Token massiv den Bezug zum USD verloren und ist auf 25 Cent gefallen.
Laut Blockchain-Sicherheitsanalysten von Cyvers entstand der Angriff durch einen Fehler in der Logik zum Erzeugen der Token. Zwar wurden die Smart Contracts geprüft, jedoch erlaubte das Problem dennoch eine unberechtigte Ausgabe der Token ohne ausreichende Kontrolle.
Der Angriff erfolgte nach einer Phase mit massivem und unerklärtem Kapitalabzug beim Protokoll. Daten von BeInCrypto zeigen, dass die gesamte Kapitalisierung von USR Anfang Februar noch etwa 400 Millionen USD betrug, aber in den Wochen vor dem Angriff auf nur 100 Millionen USD gefallen ist.
Resolv stoppt Protokoll nach USR-Absturz auf 25 Cent
Dieser schnelle Rückgang der Liquidität um 75 % wirft wichtige Fragen auf, ob Insider oder große Investoren bereits vor dem Zusammenbruch im Stillen ihre Positionen aufgelöst haben.
On-Chain-Daten zufolge hat der Angreifer zuerst 100.000 USD in USD Coin genutzt, um die Schwachstelle auszunutzen.
Die Blockchain-Sicherheitsfirma PeckShield schätzt das Gesamtvolumen der künstlich erzeugten USR-Token auf 80 Millionen USD. Laut der Firma wurde der Angriff in einer ersten Erzeugung von 50 Millionen USD und einer weiteren von 30 Millionen USD durchgeführt.
Der Angreifer hat die ungedeckten Token sofort in Liquiditätspools auf dezentralen Börsen verkauft und dadurch erfolgreich über 24 Millionen USD in Ethereum herausgezogen.
Trotz der erheblichen Marktauswirkungen behauptete Resolv Labs, dass ihr Sicherheitenpool „vollständig intakt“ bleibe und keine Vermögenswerte verloren wurden. Das Unternehmen erklärte, die wichtigste Aufgabe sei nun, die legitimen Nutzer vor den Folgen zu schützen.
Diese Unternehmenskommunikation steht deutlich im Widerspruch zur Marktrealität, da Retail-Investoren mit USR derzeit hohe Verluste nach dem Kurseinbruch um 74 % erleiden. Resolv hat alle Protokollfunktionen auf unbestimmte Zeit pausiert.
Sicherheitsforscher vermuten, dass der Vorfall eher auf massive architektonische Nachlässigkeit als auf anspruchsvolle kryptografische Angriffe zurückzuführen ist.
„Genau hier wird das Risiko bei Stablecoins real. Audits allein reichen nicht, wenn Sie die Erzeugung und den Bestand der Token nicht in Echtzeit überwachen, sind Sie im entscheidenden Moment blind. Jede Interaktion im Protokoll muss ständig überwacht werden. Unregelmäßigkeiten bei Erzeugung, Preis oder Liquidität müssen gestoppt werden, bevor sie sich ausbreiten. Nur so können Ereignisse wie dieses eingedämmt werden, bevor sie sich fortsetzen“, sagte Cyvers CEO und Mitgründer Deddy Lavid gegenüber BeInCrypto.
Der Blockchain-Analyst Andrew Hong berichtete, dass eine einfache Externally Owned Address (EOA) eine zentrale „Service-Rolle“ im Protokoll kontrollierte.
Statt auf einen sicheren Multisignature-Smart-Contract zu setzen, wurde diese Standard-Wallet durch einen einzigen privaten Schlüssel gesichert.
Zusätzlich wies die DeFi-Plattform YieldsAndMore darauf hin, dass gerade diese Verwaltungsrolle grundlegende Sicherheitsmechanismen wie maximale Mint-Limits und Preis-Orakel-Kontrollen vermissen ließ.
Analysten sehen als Folge dieser Probleme deutliche Anzeichen für einen kompromittierten privaten Schlüssel oder einen möglichen Insider-Angriff.
