- März 2026: Ein weiterer schwerwiegender Sicherheitsvorfall bei Stablecoins erschütterte den Kryptomarkt. Der Stablecoin USR, herausgegeben von Resolv Labs, wurde aufgrund einer Schwachstelle im Protokoll ausgenutzt. Innerhalb weniger Stunden gelang es Angreifern, USR-Token im Wert von 80 Millionen US-Dollar durch unautorisierte Vorgänge zu prägen. Diese „aus dem Nichts geschaffene Prägung" führte unmittelbar dazu, dass USR seine Bindung an den US-Dollar verlor und auf bis zu 0,025 US-Dollar abstürzte – ein Wertverlust von über 95 %. Obwohl das Projektteam betonte, dass die zugrunde liegenden Sicherheiten nicht direkt entwendet wurden, führte der Einbruch des Marktvertrauens und der Liquidität zu erheblichen Verlusten für die Inhaber. Dieser Artikel bietet eine umfassende Analyse des Vorfalls aus verschiedenen Perspektiven, darunter Zeitablauf, technische Details der Schwachstelle, Marktstimmung, historische Vergleiche und Strategien zur Prävention zukünftiger Vorfälle.
„Angebotsinflation" durch Kontrollverlust beim Minting ausgelöst
In den frühen Morgenstunden des 22. März 2026 (UTC+8) wurde das Resolv-Protokoll Ziel eines schweren Angriffs. Durch Ausnutzung einer Schwachstelle in den Berechtigungssteuerungen des zentralen Minting-Vertrags konnte der Angreifer den üblichen Sicherheitenprozess umgehen und mit minimalem Kapitaleinsatz eine riesige Menge USR-Stablecoins aus dem Nichts prägen.
On-Chain-Daten zeigen, dass der Angreifer zunächst zwischen 100.000 und 200.000 USDC in den USR-Minting-Vertrag eingezahlt hat (verschiedene Quellen nennen leicht abweichende Beträge). Anschließend wurde die Schwachstelle ausgelöst und insgesamt 80 Millionen USR in zwei Transaktionen geprägt – zunächst 50 Millionen, dann 30 Millionen.
- Zeitpunkt des Angriffs: ca. 22. März 2026, 02:21 UTC
- Gesamtmenge geprägt: ca. 80.000.000 USR
- Ursprünglicher Kapitaleinsatz: ca. 200.000 USDC
- Gewinn des Angreifers: Durch den Tausch der frisch geprägten USR gegen USDC und USDT auf dezentralen Börsen erwarb der Angreifer rund 11.400 ETH im Wert von etwa 23,6 Millionen US-Dollar.
Nach dem Vorfall brach der USR-Kurs in den wichtigsten Liquiditätspools wie Curve Finance rapide ein und erreichte ein Tief von 0,025 US-Dollar. Das Resolv-Team reagierte schnell, stoppte sämtliche Protokollfunktionen und veröffentlichte eine Stellungnahme, wonach der Sicherheitenpool „intakt geblieben" und kein direkter Verlust der hinterlegten Vermögenswerte entstanden sei. Die Marktberuhigung blieb jedoch aus.
Vom schrumpfenden Marktwert zur Krise
Um den Vorfall zu verstehen, lohnt sich ein Blick auf den Hintergrund des Resolv-Protokolls und seines Stablecoins USR. Resolv ist ein Stablecoin-Protokoll auf Ethereum-Basis. USR ist kein klassischer, durch Fiat gedeckter Stablecoin, sondern nutzt eine „delta-neutrale" Absicherungsstrategie: ETH und BTC dienen als Sicherheiten, und Preisschwankungen werden durch Derivatemärkte gehedgt, um die 1:1-Bindung an den US-Dollar zu halten.
Wichtige Meilensteine:
- April 2025: Resolv kündigte eine Seed-Finanzierungsrunde über 10 Millionen US-Dollar an, angeführt von Cyber.Fund und Maven11, mit Beteiligung von Coinbase Ventures und anderen. Das Team gab an, 14 Audits durchlaufen und ein Immunefi-Bug-Bounty-Programm eingerichtet zu haben.
- Anfang Februar 2026: Die Marktkapitalisierung von USR erreichte einen vorübergehenden Höchststand von etwa 400 Millionen US-Dollar. Kurz darauf setzten erhebliche Kapitalabflüsse ein.
- Februar–März 2026: Die Marktkapitalisierung von USR schrumpfte rapide von 400 Millionen auf etwa 100 Millionen US-Dollar vor dem Angriff – ein Rückgang um 75 %.

Preisdiagramm des Resolv USR Stablecoins, Quelle: CoinGecko
- März 2026, 02:21 UTC: Der Angreifer nutzte die Schwachstelle und prägte 50 Millionen USR.
- Gegen 02:38 UTC: Zweite Prägung über 30 Millionen USR, der Kurs begann stark zu entkoppeln.
- Nach 03:00 UTC: Resolv bestätigte den Angriff offiziell und verkündete das Pausieren sämtlicher Protokollfunktionen.
Der rasante Rückgang der Marktkapitalisierung vor dem Angriff führte in der Community zu Spekulationen über Insiderverkäufe. Auch wenn Insiderhandel nicht bestätigt werden kann, zeigt sich, dass das Protokoll bereits vor der Krise in einem fragilen Zustand war. Geringe Liquidität schuf ein „perfektes Sturm"-Szenario für Angreifer, um ihre Token abzuladen.
Angreifer könnten die Schwachstelle bereits früher entdeckt oder privilegierten Zugang erhalten haben und schlugen gezielt zu, als das Total Value Locked niedrig und die Liquidität dünn war, um den Profit zu maximieren.
Wo lag die eigentliche Ursache?
Das Kernproblem war die „unautorisierte Prägung". Laut Blockchain-Sicherheitsfirmen wie Cyvers und PeckShield sowie On-Chain-Analysten handelte es sich nicht um einen komplexen Smart-Contract-Bug, sondern um einen eklatanten Fehler bei der Berechtigungsverwaltung.
Analyse der Schwachstelle
| Analysedimension | Details |
|---|---|
| Schwachstellentyp | Fehlerhafte Berechtigungssteuerung / Zugriffskontrolle |
| Schlüsselrolle | SERVICE_ROLE (Service-Rolle) |
| Berechtigungsinhaber | Einzelnes externes Konto, kein Multi-Signatur-Vertrag |
| Fehlende Mechanismen | Kein Minting-Limit, keine Preis-Oracle-Validierung, keine Mengenprüfung |
| Angriffsmethode | Privilegierte Rolle rief Mint-Funktion auf und umging Sicherheitenprüfung |
- Risiko eines einzelnen privaten Schlüssels: Die für Einlösungsanfragen zuständige
SERVICE_ROLEwurde von einem normalen externen Konto kontrolliert, nicht von einer sichereren Multi-Signatur-Wallet oder einem Timelock-Vertrag. Wurde der private Schlüssel kompromittiert, erlangten Angreifer unbegrenzte Prägungsrechte. - Fehlende Validierung: Der Minting-Vertrag prüfte die Höhe der Prägeanfrage nicht gegen den tatsächlichen Sicherheitenwert und setzte weder Transaktions- noch Tageslimits. Der Angreifer hinterlegte 200.000 USDC, konnte aber 80 Millionen USR prägen – ein völlig unverhältnismäßiges Verhältnis.
- Kein On-Chain-Monitoring oder Alarmierung: Trotz mehrerer Auditberichte konzentrierten sich diese auf statische Codeüberprüfung und verzichteten auf Echtzeitverhaltensüberwachung. Bei ungewöhnlicher Prägung löste das Protokoll keine automatische Pause oder Warnung aus.
Dieser Vorfall bestätigt eine bekannte Grundregel: Sicherheits-Audits sind kein Allheilmittel. Sie können die Logik des Codes prüfen, aber keine schlechten Berechtigungsstrukturen beheben. Die zentrale Prägungsberechtigung an eine einzige Adresse zu vergeben, ist wie den Tresorschlüssel außen an der Tür aufzuhängen.
Uneinigkeit in Community und Expertenkreis
Nach dem Vorfall spalteten sich die Meinungen in der Community, insbesondere hinsichtlich der Verantwortlichkeit und der Bewertung der Auswirkungen.
Grundlegende Konstruktionsfehler im Protokoll
Cyvers-CEO Deddy Lavid und andere argumentierten, der Vorfall sei auf „architektonische Fahrlässigkeit" zurückzuführen. Auch ohne direkten Hack sei das „Minting durch Einzeladresse"-Design eine tickende Zeitbombe. Sicherheitsüberwachung müsse von statischen Audits auf Echtzeit-Dynamik ausgeweitet werden, insbesondere bei Prägung, Preisbildung und Liquiditätsänderungen.
Projektaussagen vs. tatsächliche Verluste
Die offizielle Position von Resolv betonte, der „Sicherheitenpool sei intakt, keine Verluste bei den unterlegten Vermögenswerten". In der Community wurde dies jedoch überwiegend als „Wortklauberei" gewertet. Zwar wurden keine ETH oder BTC direkt aus dem Tresor entwendet, doch durch das Prägen und Verkaufen neuer Token wurden ETH im Wert von mehreren zehn Millionen US-Dollar aus den Liquiditätspools abgezogen. Für USR-Inhaber schrumpfte der Tokenwert schlagartig um 95 % – ein realer und gravierender Verlust.
Kontroverse: Haben die Audit-Firmen versagt?
Resolv gab an, 14 Audits durchlaufen zu haben, dennoch blieb eine derart gravierende Berechtigungsschwachstelle bestehen – was die Wirksamkeit von Audits infrage stellt. Einige argumentieren, Auditoren konzentrierten sich auf klassische Probleme wie Reentrancy und Überläufe und vernachlässigten „Business-Logik" und Berechtigungsmanagement. Andere meinen, das Projektteam habe die Berechtigungen absichtlich falsch gesetzt und dies den Auditoren nicht offengelegt – dann hätten diese das Risiko nicht erkennen können.
Vorsicht vor der „technisch korrekten" Argumentation
Bei der Analyse solcher Vorfälle ist es entscheidend, objektive Fakten von Projektnarrativen zu unterscheiden.
- Fakten:
- Der Angreifer prägte 80 Millionen USR ohne Deckung.
- Der Marktpreis von USR brach um über 95 % ein.
- Der Angreifer erzielte einen Gewinn von rund 23,6 Millionen US-Dollar in ETH.
- Das Protokoll wurde pausiert, USR-Inhaber konnten ihre Token nicht mehr 1:1 einlösen.
- Projektnarrativ:
- „Sicherheitenpool intakt, keine Verluste bei den unterlegten Vermögenswerten."
- „Vorfall betrifft ausschließlich den USR-Ausgabe-Mechanismus."
- Wahrheitsgehalt bewerten:
Die Aussage „keine Verluste bei den unterlegten Vermögenswerten" ist technisch korrekt, da die Sicherheiten (ETH/BTC) nicht direkt aus dem Tresor abgezogen wurden. Sie verkennt jedoch die Tatsache, dass „das Wesen eines Stablecoins Vertrauen ist". Wenn ein Protokoll unbegrenzte Tokenprägung zulässt und diese auf den Markt gelangen, wird der Wert der Sicherheiten verwässert. Stablecoin-Inhaber erleiden „Verwässerungsverluste", die genauso schwer wiegen wie direkter Diebstahl.
Branchenweite Auswirkungen: Ein Weckruf für DeFi
Der Resolv-Vorfall ist mehr als ein isolierter Sicherheitsbruch – er offenbart mehrere systemische Risiken im heutigen DeFi-Ökosystem.
Die Fragilität ertragsgenerierender Stablecoins
USR ist ein „ertragsgenerierender" Stablecoin, der Nutzern durch komplexe Derivatstrategien wie Funding-Rate-Arbitrage Renditen verschafft. Das Ereignis zeigt: Je komplexer die Strategie und Berechtigungsarchitektur, desto größer die Angriffsfläche. Wenn Renditeerwartungen mit Sicherheitsdesign kollidieren, bleibt die Sicherheit oft auf der Strecke.
Versagen von Oracles und Liquidationsmechanismen
Als USR auf 0,025 US-Dollar abstürzte, waren Kreditprotokolle, die USR als Sicherheit akzeptierten (wie Morpho), enormen Risiken ausgesetzt. Nutzt ein Protokoll Off-Chain- oder langsame Preisoracles, können Nutzer zu einem USR-Kurs von 1 US-Dollar Kredite aufnehmen, obwohl die Sicherheit faktisch wertlos ist – es entstehen faule Kredite.
Das Ende des „Audit-Mythos"
Das Projekt verwies auf 14 Auditberichte. Dies zeigt: Die Anzahl der Audits ist kein Garant für Sicherheit. Der Markt benötigt ein transparenteres Risikobewertungsmodell, das auch Protokoll-Governance, Berechtigungsmanagement und Monitoring von Geldflüssen umfassend bewertet.
Szenarienanalyse: Mögliche zukünftige Entwicklungen
Basierend auf dem aktuellen Stand lassen sich verschiedene Szenarien für die weitere Entwicklung ableiten.
| Szenariotyp | Beschreibung | Schlüsselfaktoren |
|---|---|---|
| Optimistisch | Das Projekt kann einen Teil der Mittel zurückholen und startet einen Entschädigungsplan. In Zusammenarbeit mit Sicherheitsfirmen werden On-Chain-Vermögenswerte verfolgt, einige ETH möglicherweise markiert und eingefroren. Das Team nutzt verbleibende Sicherheiten zur anteiligen Kompensation der Opfer. Das Protokoll wird vollständig überarbeitet, Multi-Signatur- und Timelock-Kontrollen werden implementiert. | Geschwindigkeit der Strafverfolgung, ob Vermögenswerte in Privacy-Tools verschoben werden |
| Basisszenario | Das Projekt schließt interne Untersuchungen ab und kündigt einen Plan zur Rückgewinnung der Vermögenswerte an (z. B. Ausgabe neuer Token), doch die Kompensation bleibt begrenzt. Nach dem Neustart bleibt das Nutzervertrauen gering, das Total Value Locked stagniert. Regulierungsbehörden nehmen ertragsgenerierende Stablecoins stärker ins Visier. | Finanzielle Stärke des Projekts, Fähigkeit zur Wiederherstellung des Community-Vertrauens |
| Pessimistisch | Die Rückholung der Mittel scheitert, ein Kompensationsplan kommt nicht zustande, das Team löst sich auf. USR fällt auf null, Kreditprotokolle mit USR als Sicherheit werden liquidiert und Millionen an faulen Krediten entstehen. Das erschüttert das Vertrauen in DeFi-Derivate weiter. | Ob Kreditprotokolle über ausreichende Versicherungsfonds zur Deckung fauler Kredite verfügen |
Fazit
Der Vorfall um Resolv USR ist eine ernüchternde Lektion für das Sicherheitsniveau im DeFi-Bereich. Er zeigt deutlich: In der Welt der dezentralen Finanzen bedeutet „Privileg" gleich „Risiko". Hängt das Schicksal eines Protokolls an einem einzigen privaten Schlüssel, ist es – unabhängig von ökonomischem Modell oder Auditdichte – nicht gegen den Schaden eines kompromittierten Schlüssels gewappnet.
Für Anwender ist das Bewusstsein für diese Risiken entscheidend. Vor der Nutzung eines DeFi-Protokolls – insbesondere bei Stablecoin-Projekten – sollten folgende Punkte im Fokus stehen: Nutzt das Protokoll Multi-Signatur-Management für zentrale Berechtigungen? Gibt es Echtzeit-On-Chain-Monitoring und Not-Aus-Mechanismen? Werden Governance-Berechtigungen durch Timelocks abgesichert? Sicherheit darf kein bloßes Versprechen im Whitepaper sein – sie muss sich in jeder Berechtigungseinstellung im Code widerspiegeln.
Bei aller Renditejagd sollte stets die Risikowahrnehmung geschärft werden. Vermeiden Sie es, blind hohen Renditen nachzujagen und dabei die Protokollsicherheit zu vernachlässigen. Wir werden weiterhin solche Sicherheitsvorfälle beobachten und mit fundierten Branchenanalysen und Risikohinweisen zu einem robusteren Handelsumfeld für Krypto-Assets beitragen.




