Resolv stablecoin stort 70% in nadat aanvaller $25 miljoen aan ETH wist te ontvreemden

Een stablecoin hoort één dollar waard te zijn. Resolv's USR is 27 cent waard en de berekening om dit te corrigeren werkt niet.

Een aanvaller maakte zondag rond 02:21 uur UTC gebruik van een kwetsbaarheid in het USR stablecoin minting contract van Resolv, waardoor ongeveer 80 miljoen niet-ondersteunde tokens werden aangemaakt verspreid over twee transacties en ongeveer 25 miljoen dollar werd onttrokken, volgens meerdere blockchainbeveiligingsfirma's en onchaingegevens.

De aanvaller heeft vervolgens de geminte USR geruild voor USDC en USDT op gedecentraliseerde beurzen, de opbrengst omgezet naar ETH, en bezit nu 11.409 ETH ter waarde van ongeveer $23,7 miljoen plus $1,1 miljoen aan wrapped USR in een aparte wallet.

USR, een aan de dollar gekoppelde stablecoin die een delta-neutrale afdekkingsstrategie gebruikt en wordt ondersteund door ETH en BTC, kelderde naar $0,025 op zijn meest liquide Curve Finance-pool binnen 17 minuten na de eerste mint, aldus DEX Screener.

Het herstelde later tot ongeveer $0,85, maar heeft zijn koppeling niet hersteld. Maandagochtend werd het verhandeld tegen $0,27, een daling van 72% deze week.

De werkelijke oorzaak was ernstiger dan de initiële verklaring van Resolv deed vermoeden. Het team omschreef het incident als een "gecompromitteerde privésleutel" en een "gerichte inbraak in de infrastructuur."

Maar onchain-analisten ontdekte dat het werkelijke probleem structureel was. De SERVICE_ROLE, een geprivilegieerd account dat swap-verzoeken voltooit in het minting-contract, werd beheerd door een enkele extern beheerde account in plaats van een multisignature. Het contract ontbrak aan oracle-controles, bedragvalidatie en maximale mintlimieten.

De aanvaller stortte 100.000 USDC en ontving in ruil daarvoor 50 miljoen USR, ongeveer 500 keer het verwachte bedrag, omdat er in het systeem niets was dat controleerde of die verhouding logisch was.

Voor de meeste smart contracts is deze opzet niet ongebruikelijk," vertelde Ido Sofer, oprichter van het crypto key management bedrijf Sodot, aan CoinDesk. "Er is een sleutel die gezag heeft over contractdetails – in dit geval, voor het minten, wat vaak over het hoofd wordt gezien. Dit enkele falingspunt is een aantrekkelijk doelwit voor interne en externe bedreigingen.

"Dit sluit aan bij een groeiende trend van aanvallen die zich richten op de blinde vlek van beveiligingsteams - gevoelige sleutels en referenties die niet direct de fondsen bevatten, maar wel kunnen worden gebruikt om toegang tot de fondsen te verkrijgen. Dit omvat ontwikkelaarsreferenties, handels-API-sleutels en andere implementatiesleutels," voegde hij eraan toe.

De gegevens van DeFiLlama tonen aan dat de TVL van Resolv in februari 2025 een piek bereikte van bijna $684 miljoen, waarna deze gedurende het jaar daalde tot ongeveer $95 miljoen voorafgaand aan de exploitatie.
Resolv gaf aan samen te werken met wetshandhavingsinstanties en onchain-analysebedrijven en "alle beschikbare wegen te zullen bewandelen om activa terug te vorderen."

Het team raadde sterk af om USR te verhandelen terwijl herstelmaatregelen worden doorgevoerd, met de toevoeging dat "handelingen van gebruikers tijdens de post-exploitatieperiode het herstel kunnen beïnvloeden."

Correctie: 6:39 UTC: De vorige versie vermeldde ten onrechte $80 miljoen als het verlies in de titel en de tekst van het artikel