Op 22 maart 2026 meldde Resolv Labs een ernstig incident: iemand had ongeautoriseerd toegang tot een sleutel die permissies bezat voor het mint-mechanisme van de stablecoin USR. Door die toegang kon de aanvaller ongeveer 80 miljoen nieuwe USR creëren en die onmiddellijk verkopen op secundaire markten, wat leidde tot een scherpe waardedaling van de token.
Het team heeft de protocollen tijdelijk gepauzeerd om verdere schade te beperken en een onderzoek gestart naar de stroom van fondsen en mogelijke herstelmaatregelen.
Hoewel het project volgens eigen opgave nog het grootste deel van het onderpand behoudt — ongeveer $140 miljoen aan assets — ontstond er direct een groot aanbodoverschot dat de prijs van USR verstoorde. Marktgegevens en onchain-analyses tonen aan dat de exploit niet alleen directe verliezen veroorzaakte voor holders, maar ook liquiditeit uit pools wegdraaide en andere DeFi-constructies blootstelde aan contagion-risico.
Indice dei contenuti:
Wat er precies gebeurde
De kern van het probleem was een gecompromitteerde privésleutel van een account met mint-bevoegdheden: een conventioneel EVM-account (EOA) in plaats van een multisignature of een ander robuuster key managementsysteem. Met die sleutel konden ca. 80 miljoen USR worden gecreëerd tegen een relatief klein onderpand (minder dan $200k), wat volgens post-mortem analyses neerkwam op een extreem onevenwichtige ratio tussen geslagen tokens en gedeponeerd collateraal, soms genoemd als ongeveer 500:1.
De nieuw geslagen USR werd voornamelijk via liquiditeitspools — met name op Curve Finance in de paarstelling USR/USDC — verkocht. Die verkopen leidden tot een uitputting van de pool-liquiditeit van naar schatting $23-25 miljoen, waarna opbrengsten snel in ETH werden geconverteerd en verdeeld over meerdere adressen. Resolv rapporteerde later dat ongeveer 9 miljoen van de door de aanvaller beheerde USR zijn verbrand om verdere dumping te reduceren, maar de schade aan prijsstabiliteit was reeds aangericht.
Technische oorzaken en zwakke punten
Een belangrijke technische lacune was het ontbreken van operationele limieten op het mint-contract: er waren geen harde checks op maximale mintbedragen en ook geen beveiligingsmechanismen gekoppeld aan de prijsfeed van het orakel. Dat maakte het contract gevoelig voor grootschalige, ongecontroleerde uitgifte zodra een account met permissies werd misbruikt. Daarnaast speelde het gebruik van een enkelvoudig EOA in plaats van een multisig een doorslaggevende rol in de escalatie van het incident.
Impact op andere DeFi-protocollen
Omdat USR breed werd hergebruikt binnen de DeFi-compositie, ontstond er een kettingreactie. Lenders en vaults die USR als onderpand of yield-token accepteerden — zoals bepaalde vaults op platforms als Morpho — zagen hun posities verzwakken en sommige curators kregen significante bad debt. Deze cross-protocol integraties illustreren de dubbele aard van composability: ze verhogen efficiëntie maar vergroten ook het risico van spillover-effecten wanneer een component faalt.
Mogelijke herstelopties en dilemma’s
Het team sprak openlijk over mogelijkheden zoals het creëren van een nieuwe token of het technisch terugdraaien van de state. Een volledig rollback op de blockchain is praktisch onmogelijk zonder coördinatie met het basisnetwerk (bijv. Ethereum), maar het heruitgeven van een schone USR zou wel overwogen kunnen worden omdat het protocol het collateraal grotendeels intact houdt. Dergelijke ingrepen lossen echter de verdelingseffecten niet op: liquidity providers en gebruikers die verkochten tijdens de depeg kunnen blijvende verliezen lijden.
Uiteindelijk moet elk herstelvoorstel rekening houden met wie de rekening betaalt: het protocol, de tokenhouders, of de liquidity providers. Het team heeft gebruikers aangeraden om voorlopig geen USR te verhandelen en werkt aan een plan om schade te compenseren, terwijl onchain-forensics en compliance-teams de fondsen volgen.
Lessen voor DeFi-gebruikers en curatoren
Dit incident benadrukt dat hoge rendementen vaak gepaard gaan met onzichtbare operationele risico’s. Strategieën die meer dan gemiddelde APY beloofden met USR waren kwetsbaar door de complexiteit van hun opzet. Voor gebruikers en curatoren blijft de boodschap duidelijk: beoordeel key management, eis multisignature-bescherming wanneer mogelijk, begrijp de composability-ketens waarin een token verschijnt, en weeg risico versus opbrengst voordat blootstelling aan nieuwe stablecoins of yield-strategieën wordt vergroot.