TL;DR

Hacker tømte 25 millioner på én søndagsmorgen

Søndag 22. mars 2026 ble Resolv USR-protokollen rammet av et av de mer teknisk sofistikerte angrepene i DeFi-sektoren hittil i år. Angriperen begynte med å sette inn beskjedne 100 000 dollar i USDC via requestSwap-funksjonen i USR Counter-kontrakten – og fikk tilbake rundt 50 millioner ubakkede USR-tokens, ifølge analyser fra kryptofond D2 Finance. Det tilsvarer en multiplikator på 500 ganger innskuddet.

Deretter myntet angriperen ytterligere 30 millioner USR, slik at det totale antallet falske tokens nådde 80 millioner. Disse ble raskt vekslet inn i USDC, USDt og til slutt Ether via desentraliserte børser som Curve og Uniswap – en rask og aggressiv uttaksstrategi som umiddelbart destabiliserte prismekanismen.

80 millioner ubakkede tokens – skapt med et innskudd på 100 000 dollar
Stablecoin-raid: Hacker stjal 25 millioner via falsk mynting

Hva gikk galt?

Årsaken til sårbarheten er ennå ikke endelig bekreftet, men flere aktører peker i samme retning. DeFi-analyseprofilet YAM indikerer i en foreløpig analyse at angriperen trolig fikk kontroll over SERVICE_ROLE-funksjonen, som leverer parametere til myntingskontrakten. Dette åpnet for å omgå normale valideringskontroller mellom myntingsforespørsel og -gjennomføring.

Sikkerhetsselskapet Pashov, som gjennomførte en revisjon av Resolvs staking-modul i juli 2025, heller mot at rotårsaken var en operasjonell sikkerhetsfeil – muligens et kompromittert privat nøkkelpar – snarere enn en grunnleggende designsvakhet i protokollen. D2 Finance nevner i tillegg muligheten for manipulert oracle eller en kompromittert off-chain signeringsinstans.

$25M
Estimert tap
80M
Ubakkede tokens myntet
2,5¢
Laveste USR-kurs
Stablecoin-raid: Hacker stjal 25 millioner via falsk mynting

Dramatisk depeg og kaotisk markedsreaksjon

Da de falske tokenene begynte å dumpe mot markedet, kollapset USR-kursen. På Curve Finance nådde prisen et bunnpunkt på 2,5 cent – et fall på nær 97,5 prosent fra dollar-peggen. Andre plattformer viste kurser mellom 14 og 25 cent i de verste øyeblikkene. Ifølge rapporter fra The Defiant handlet tokenet seg noe tilbake – til mellom 42 og 87 cent avhengig av plattform og tidspunkt – men holdt seg langt under sin tiltenkte verdi på én dollar.

Protokollene Lido, Morpho og Aave, som alle hadde eksponering mot USR, reagerte raskt med å sette markeder på pause eller isolere vaults for å begrense videre smitteeffekt.

Resolv Labs: Kolateralbeholdningen er intakt

Resolv Labs bekreftet angrepet og satte umiddelbart alle protokollfunksjoner på pause. I en uttalelse understreket teamet at kolateralbeholdningen "forblir fullt intakt", og at problemet var "isolert til USR-utstedelsesmekanikken". Ifølge selskapet er tapet knyttet til opprettelsen av ubakkede tokens, ikke til uttapping av eksisterende sikkerhetsmasse.

Teamet opplyser at de arbeider med en etterforskning og en gjenopprettingsplan, men per publiseringsdato er det ikke lagt frem noen formell post-mortem eller konkret veikart mot repeg.

Gjenoppretting blir krevende

Utsiktene til å hente tilbake midlene er begrenset. Angriperen konverterte raskt de stjålne verdiene til ETH, noe som gjør direkte tilbakeføring tilnærmet umulig uten aktiv medvirkning fra sentraliserte børser eller bro-operatører. USR-holdere advares om å behandle tokenet som svært risikabelt inntil det foreligger klarhet om en troverdig vei tilbake til dollar-pegg.