Door een beveiligingsfout bij Resolv Labs kon een aanvaller meer dan $80 miljoen aan ongedekte USR stablecoins minten. Hierdoor verloor de token snel zijn dollarpeg en kelderde naar $0,25.
Volgens blockchain security-analisten van Cyvers gebeurde de exploit door een fout in de minting-logica. De contracten waren gecontroleerd, maar het probleem maakte alsnog ongeautoriseerd minten mogelijk zonder goede controle.
De exploit kwam na een periode van grote, onverklaarde uitstroom van kapitaal bij het protocol. Uit gegevens van BeInCrypto blijkt dat de totale kapitalisatie van USR daalde van ongeveer $400 miljoen begin februari naar slechts $100 miljoen enkele weken voor de aanval.
Resolv pauzeert protocol nadat USR crasht naar $0,25
Deze snelle daling van 75% in liquiditeit roept belangrijke vragen op of insiders of grote investeerders stilletjes hun posities afbouwden voor de crash.
Volgens on-chain data gebruikte de aanvaller eerst $100.000 in USD Coin om het lek te activeren.
Blockchain securitybedrijf PeckShield schat dat er in totaal $80 miljoen aan kunstmatig gegenereerde USR is gemaakt. Volgens PeckShield werd de aanval uitgevoerd via een eerste mint van $50 miljoen en daarna nog eens $30 miljoen.
De aanvaller dumpte vervolgens direct de niet-gedekte tokens in liquiditeitspools van decentralized exchanges, en wist zo meer dan $24 miljoen aan Ethereum eruit te halen.
Ondanks de grote impact op de markt beweert Resolv Labs dat hun onderpandpool “volledig intact blijft” en dat het geen onderliggende assets is kwijtgeraakt. Het bedrijf zegt dat hun eerste prioriteit nu is om legitieme gebruikers te beschermen tegen de nasleep.
Deze boodschap van Resolv staat haaks op de realiteit, want retail-investeerders die USR hebben, lijden nu grote verliezen door de 74% crash. Resolv heeft alle functies in het protocol voor onbepaalde tijd gepauzeerd.
Security-onderzoekers geven aan dat de oorzaak meer ligt bij grove architecturale nalatigheid dan bij geavanceerde cryptografische aanvallen.
“Dit is precies waar het risico bij stablecoins echt wordt. Audits alleen zijn niet genoeg: als je niet real-time minting en aanbod controleert, ben je blind op de momenten dat het ertoe doet. Elke interactie met het protocol moet continu gemonitord worden, en afwijkingen in minting, prijs of liquiditeit moeten direct gestopt worden voor het escaleert. Dat is de enige manier om incidenten als deze tijdig te stoppen,” vertelde Cyvers CEO & medeoprichter Deddy Lavid aan BeInCrypto.
Blockchain-analist Andrew Hong meldde dat een gewone Externally Owned Address (EOA) binnen het protocol een cruciale “service role” beheerde.
In plaats van een veilig multisignature contract te gebruiken, gebruikte het protocol slechts één private key voor deze standaard crypto wallet.
Verder merkte het DeFi-platform YieldsAndMore op dat deze specifieke admin-rol geen basis beveiligingsmaatregelen had, zoals een maximale mint-limiet en prijs-oracle controles.
Hierdoor denken analisten dat er waarschijnlijk sprake is van een gecompromitteerde private key of mogelijk een interne actie.
