Op 22 maart 2026 crashte de USR stablecoin van Resolv Labs naar $0,025 nadat een aanvaller een gecompromitteerde minting key gebruikte om 80 miljoen ongedekte tokens te creeren. De aanvaller stortte $200.000 in USDC en mintte 80 miljoen USR — waarna alles werd omgewisseld voor ETH en er ruwweg $25 miljoen werd onttrokken voordat iemand het kon stopzetten.
Dit was geen smart contract bug. De contracten werkten precies zoals ontworpen. De fout was dat een enkele off-chain key mintingbevoegdheid had zonder on-chain limieten, geen multisig en geen pauzeerfunctie. Achttien audits misten het.
Hoe minting werkte
USR had een tweestaps mintingproces. Stap een: een gebruiker stort USDC on-chain via requestSwap. Stap twee: een off-chain service beheerd door een privileged key (SERVICE_ROLE) roept completeSwap aan en specificeert hoeveel USR-tokens er gemint worden. Het contract controleerde of de storting een minimumdrempel haalde, maar verifieerde niet of het mintbedrag enige relatie had met de storting. Die validatie vond volledig off-chain plaats.
Met de gecompromitteerde key stortte de aanvaller 100.000 USDC en mintte 50 miljoen USR. Vanuit het perspectief van het smart contract zag dit er identiek uit als een legitieme transactie. Het contract kon het verschil niet zien.
Wat er volgde
De aanvaller converteerde USR naar wstUSR en swapte het vervolgens systematisch voor stablecoins en ETH op gedecentraliseerde exchanges. De prijs van USR op de meest liquide Curve pool stortte in naar $0,025 binnen 17 minuten. Lending protocols die USR op $1 waardeerden — Euler, Venus, Lista, Fluid — kregen te maken met cascaderende blootstelling en pauzeerden hun markten.
De hoofdwallet van de aanvaller bevat ongeveer 11.409 ETH (~$23,7 miljoen). Alle adressen en geldstromen zijn publiek zichtbaar on-chain.
De forensische uitdaging
On-chain is het beeld helder: deposit-to-mint verhoudingen van 100K USDC naar 50M USR, herhaald over meerdere transacties, met onmiddellijke conversie en onttrekking. Daar is geen onduidelijkheid over.
Het lastige deel is alles wat off-chain plaatsvond. Hoe werd de AWS key management service gecompromitteerd? Was er sprake van insiderbetrokkenheid? De minting key bestaat buiten het zichtbare bereik van de blockchain, dus het vaststellen van de root cause vereist infrastructuurlogs en toegangsregistraties die op geen enkele publieke ledger staan.
De echte les
Smart contract audits zijn noodzakelijk. Maar deze zaak laat zien dat ze niet voldoende zijn. De kwetsbaarheid zat niet in de code — maar in het vertrouwensmodel rondom een enkele off-chain key. Als je DeFi-protocolrisico beoordeelt, kijk dan naar key management, toegangscontroles en governancestructuren. Daar zit de werkelijke blootstelling vaak.
Resolv heeft 9 miljoen illegaal geminte USR verbrand en bevestigde $141 miljoen aan onderpand, maar houdt $95 miljoen aan activa tegenover $173 miljoen aan verplichtingen. Het protocol is feitelijk insolvent.