Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 266Kompromittierung privater Schlüssel

Resolv USR-Stablecoin Cloud-KMS-Drain

Resolv Labs verlor 25 Mio. $, nachdem Angreifer seine AWS-KMS-Schlüssel kompromittierten; 100.000 $ USDC mintete 50 Mio. USR und depeggte 74 % in 17 Minuten.

Datum
Opfer
Resolv Labs
Chain(s)
Ethereum
Status
Mittel entwendet

Am 22. März 2026 um 02:21 UTC kompromittierten Angreifer Resolv Labs' AWS-Key-Management-Service-(KMS)-Umgebung und nutzten den eigenen privilegierten Signaturschlüssel des Protokolls, um 80 Millionen ungedeckte USR-Stablecoins aus einer Startposition von 100.000 USDC zu minten. Der USR-Preis stürzte von 1,00 $ auf 0,025 $ in 17 Minuten, bevor er sich teilweise erholte. Gesamter realisierter Verlust: etwa 25 Millionen $ in ETH, extrahiert aus dem USR-Counter-Vertrag.

Was geschah

USR war Resolvs dollar-gepeggter Stablecoin, gedeckt durch eine Delta-neutrale Hedging-Strategie mit ETH und BTC. Nutzer konnten USR minten, indem sie Sicherheiten hinterlegten; Rücknahme-Mechanik wurde von Smart Contracts geregelt, die sowohl mit On-Chain-Sicherheiten als auch Off-Chain-Hedge-Positionen interagierten.

Die Mint-Autorität für USR war hinter einem privilegierten Signaturschlüssel gesperrt, gespeichert in AWS KMS — Amazons verwaltetem Dienst für kryptografische Schlüsselspeicherung. Das Standard-AWS-KMS-Deployment ist bedeutungsvoll sicher; die Schlüssel selbst können nicht aus dem Dienst exportiert werden. Operationen werden durchgeführt, indem Anfragen an die KMS-API gesendet werden, authentifiziert durch AWS-IAM-Anmeldedaten.

Der Pfad des Angreifers:

  1. Kompromittierte Resolvs AWS-Cloud-Umgebung — der spezifische Vektor wurde nicht öffentlich detailliert, aber konsistent mit Anmeldedaten-Diebstahl, anfälliger Cloud-Infrastruktur-Fehlkonfiguration oder kompromittierten IAM-Berechtigungen.
  2. Mit Zugriff auf die AWS-Umgebung gewann er die Fähigkeit, den KMS-gespeicherten Signaturschlüssel über den normalen API-Pfad aufzurufen.
  3. Reichte Mint-Autorisierungen für USR gegen beliebige Sicherheiten-Inputs ein.
  4. Hinterlegte 100.000 USDC in Resolvs USR-Counter-Vertrag.
  5. Der Vertrag, der die KMS-signierte Mint-Autorisierung akzeptierte, gab 50.000.000 USR an den Angreifer aus — 500× das legitime Verhältnis.
  6. Wiederholte die Operation, bis ~80 Mio. USR gemintet waren.
  7. Tauschte das frisch geprägte USR gegen ETH über Curve und andere DEXs, bevor der Markt die Verwässerung einpreiste.

Nettoextraktion: ~25 Mio. $ in ETH, bevor der Depeg von USR weitere Extraktion unrentabel machte.

Folgen

  • USR stürzte von 1,00 $ auf 0,025 $ innerhalb von 17 Minuten nach dem ersten bösartigen Mint. Es erholte sich teilweise auf ~0,85 $, hat aber seinen Peg zum Zeitpunkt der öffentlichen Berichterstattung nicht wiederhergestellt; 0,27 $ am folgenden Montag.
  • Resolv Labs veröffentlichte ein Post-Mortem, das den AWS-KMS-Kompromiss als Grundursache identifizierte und strukturelle Designfehler anerkannte, einschließlich:
    • Einzelschlüssel-kontrollierte privilegierte Mint-Autorität.
    • Keine Orakel- oder Mengenprüfungen bei einzelnen Mint-Operationen.
    • Keine maximalen Mint-Limits, um Pro-Transaktion- oder Pro-Block-Schaden zu begrenzen.
  • Wiederherstellungs- und Protokoll-Neustart-Pläne wurden angekündigt; Details entwickelten sich bis April 2026 weiter.

Warum es wichtig ist

Der Resolv-Vorfall ist einer der saubersten Fälle dafür, warum Cloud-verwaltete Schlüsseldienste das Risiko der operativen Sicherheit nicht eliminieren — sie verlagern es lediglich von "der private Schlüsseldatei auf der Festplatte" zu "der Cloud-Umgebung, die den Schlüssel aufrufen kann". Der Angreifer exfiltrierte den KMS-gespeicherten Schlüssel nicht (das konnte er nicht); das musste er auch nicht. Die Fähigkeit, das KMS zu bitten, ein Payload im Namen des Protokolls zu signieren, war der gesamte Kompromiss.

Die strukturellen Lehren, besonders relevant für 2026 Stablecoin- und DeFi-Infrastruktur:

  1. Cloud KMS ist notwendig, aber nicht ausreichend für hochwertige Signaturoperationen. Die IAM-Berechtigungen, Netzwerk-ACLs und operativen Kontrollen rund um die KMS-Umgebung sind Teil der Vertrauensgrenze. Eine KMS-Umgebung mit breiten IAM-Berechtigungen und schwacher operativer Überwachung ist strukturell äquivalent zu einem Hot-Wallet-Schlüssel.

  2. Mint-Pfade erfordern explizite Invarianten über die Signaturverifikation hinaus. Resolvs Verträge vertrauten der signierten Autorisierung vollständig — keine Pro-Block-Mint-Limits, keine Sicherheitsverhältnis-Prüfungen, keine Orakel-Verankerung. Der Vertrag tat genau das, was der (kompromittierte) Signaturschlüssel ihm sagte.

  3. Einzelschlüssel-Designs für Stablecoin-Emission sind im großen Maßstab unsicher, unabhängig davon, wie der Schlüssel geschützt ist. Die Minderungen — Multi-Sig mit Timelocks, On-Chain-Ratenlimits, automatische Pause bei Anomalie — existieren; ihr Fehlen in Resolvs Design ist die zugrundeliegende Ursache.

Der Resolv-Vorfall reiht sich neben Bybit, Drift Protocol und anderen in die Welle von Vorfällen 2025-2026 ein, bei denen die Verträge des Protokolls technisch korrekt funktionierten, aber die sie kontrollierende Off-Chain-Infrastruktur kompromittiert worden war. Das Muster ist nun ausreichend dominant, dass "Smart-Contract-Audit" allein zunehmend als nur einen schrumpfenden Bruchteil der tatsächlichen Angriffsfläche abdeckend anerkannt wird.

Quellen & On-Chain-Belege

  1. [01]coindesk.comhttps://www.coindesk.com/markets/2026/03/23/resolv-stablecoin-drops-70-after-usd80-million-exploit-after-attacker-mints-usr
  2. [02]theblock.cohttps://www.theblock.co/post/394582/resolvs-usr-stablecoin-depegs-after-attacker-mints-80-million-unbacked-tokens-extracts-roughly-25-million
  3. [03]decrypt.cohttps://decrypt.co/361984/resolv-labs-stablecoin-depegs-plunges-74-after-25m-exploit

Verwandte Einträge