Behebt den Caps-Exploit-Verlust in Höhe von 34 Millionen US-Dollar mit einem Vertrags-Upgrade, um Hacker-Token zu zerstören

Resolv Labs führte am 6. April 2026 ein On-Chain-Vertrags-Upgrade aus, um 36,73 Millionen wstUSR- und stUSR-Token, die sich unter der Kontrolle eines Angreifers befanden, dauerhaft zu verbrennen und damit den geschätzten Nettoverlust des Protokolls aus dem Exploit vom 22. März auf ungefähr $34 Millionen zu deckeln.

Der Angreifer hatte einen kompromittierten, auf AWS gehosteten privaten Schlüssel verwendet, um 80 Millionen nicht besicherte USR-Token zu prägen, mit nur $100.000 bis $200.000 an Sicherheiten, tauschte dann 34 Millionen USR gegen 11.409 ETH (im Wert von etwa $24,5 Millionen), bevor die Liquidität erschöpft war, während die verbleibenden Token durch das Upgrade des Protokolls verbrannt wurden.

Resolv nutzt ein Contract-Upgrade, um die Tokens des Hackers zu zerstören

Die On-Chain bestätigte Upgrade-Transaktion entpackte zunächst das stUSR zu USR, bevor sie beides an die Zero-Adresse schickte und die Tokens dadurch für niemanden mehr abrufbar machte, einschließlich des Hackers. Resolv hatte das Protokoll zuvor pausiert und eine 10%-White-Hat-Prämie angeboten, aber der Hacker zeigte kein Interesse an einer friedlichen Lösung, sodass das Team seine Upgrade-Befugnis nutzte, um die verbleibenden Tokens zu zerstören.

Der Exploit ereignete sich am 22. März 2026, als ein Angreifer einen einzelnen kompromittierten, auf AWS gehosteten privaten Schlüssel verwendete, der die SERVICE_ROLE kontrollierte, um zwei große Mints zu genehmigen. Das Protokoll gab 80 Millionen nicht besicherte USR-Token aus, obwohl der Angreifer nur $100.000 bis $200.000 an USDC als Sicherheiten hinterlegt hatte. Der Hacker tauschte schnell 34 Millionen USR gegen 11.409 ETH, ungefähr $24,5 Millionen zum damaligen Zeitpunkt, bevor die Liquidität aufgebraucht war. Die verbleibenden Tokens lagen schlafend in den Wallets des Ausnutzers, größtenteils als wstUSR umhüllt.

Das Depeg, das durch das Vorgehen des Hackers entstand, ließ USR auf Curve so niedrig wie $0,025 fallen. Resolv’s Contract-Upgrade wurde in der Vergangenheit als Zentralisierungsrisiko kritisiert, ähnlich zu Hebeln, die andere Projekte wie Flow in Betracht gezogen hatten, aber die Aktion gelang und begrenzte die gesamten geschätzten Verluste des Protokolls erfolgreich auf etwa $34 Millionen.

DeFi-Protokolle leiden unter der Wucht des Resolv-Exploits

DeFi-Protokolle mit Exposition gegenüber den Vaults von Resolv gerieten in den Bereich der Auswirkungen. Morpho-Vaults schluckten Millionen an uneinbringlicher Schuld und lösten massive Abflüsse aus. Trading Strategy, eine DeFi-Analytics-Plattform, bemerkte, dass viele Vaults infolge der Kompromittierung des privaten Resolv-Schlüssels illiquide wurden, wobei die Sicherheiten über Nacht wertlos wurden. Einige Morpho-Vaults wiesen plötzlich hohe Renditen auf, doch diese Vaults waren illiquide, und Einleger konnten voraussichtlich nicht mehr abziehen.

Gute Kuratoren verhinderten neue Einzahlungen, indem sie die maximalen Einzahlungen auf null setzten, aber der Vault-Standard hat kein separates Flag für „kaputte“ Vaults, nur „maximale Kapazität erreicht“. Trading Strategy blacklistet problematische Vaults manuell, aber der Prozess dauert.

Das breitere DeFi-Hack-Muster setzt sich mit Drift und Balancer fort

Der Resolv-Exploit fügt sich in ein düsteres Muster großangelegter DeFi-Hacks ein. Nur wenige Wochen vor Resolv hatte Balancer Labs, die gewinnorientierte Einheit hinter dem wegweisenden automatisierten Market Maker, angekündigt, nach dem Verlust von $128 Millionen in einem Angriff im November 2025 den Betrieb einzustellen. Der CEO von Balancer führte die anhaltenden rechtlichen Folgen sowie die finanzielle Belastung durch den Hack an, der Liquiditätspools durch manipulierte Vault-Interaktionen abfließen ließ. Die Balancer DAO und das Protokoll bleiben am Leben, aber das Kern-Entwicklungsunternehmen hat praktisch aufgehört zu existieren.

Der April 2026 begann damit, dass das Drift Protocol am 1. April einen Verlust von $285 Millionen meldete, der mit nordkoreanischen staatlich geförderten Hackern in Verbindung stand. Für Resolv bietet die Darstellung einer finalen Verlustzahl von $34 Millionen eine klare Basis für die Erholung und kauft dem Protokoll Zeit, die Balancer nicht hatte. Die Abläufe bleiben pausiert.

FAQ

Wie ist der Resolv-Exploit passiert?

Ein Angreifer kompromittierte einen einzelnen, auf AWS gehosteten privaten Schlüssel, der die SERVICE_ROLE kontrollierte, sodass er 80 Millionen nicht besicherte USR-Token mit nur $100.000–$200.000 an Sicherheiten prägen konnte. Er tauschte 34 Millionen USR gegen 11.409 ETH (≈$24,5 Millionen), bevor die Liquidität erschöpft war. Resolv verbrannte später die verbleibenden 36,73 Millionen Token über ein Contract-Upgrade.

Wie hoch ist der endgültig geschätzte Verlust für Resolv?

Der Nettoverlust von Resolv beträgt ungefähr $34 Millionen. Der Angreifer zog etwa $24,5 Millionen in ETH heraus, und das Upgrade des Protokolls verhinderte weitere Verluste, indem es die verbleibenden, vom Hacker gehaltenen Token zerstörte.

Welche anderen DeFi-Protokolle wurden von den jüngsten Hacks betroffen?

Balancer Labs stellte nach einem $128-Millionen-Hack im November 2025 den Betrieb ein, und das Drift Protocol erlitt am 1. April 2026 einen $285-Millionen-Exploit. Morpho-Vaults nahmen außerdem uneinbringliche Schulden aus dem Resolv-Vorfall auf, wurden illiquide und verursachten massive Abflüsse.