Die DeFi-Ausbeutungen im Jahr 2026 haben bisher bereits 137 Millionen Dollar erreicht, und es ist erst März. Die Rangliste ist brutal: • @StepFinance_: 27,3 Millionen Dollar • @Truebitprotocol: 26,2 Millionen Dollar • @ResolvLabs: 25 Millionen Dollar (Gestern) ​ Es ist selten in der Geschichte von DeFi, einen 100.000-Dollar-Einlage zu sehen, die sich in Sekunden in eine 80 Millionen Dollar Stablecoin-Prägung verwandelt. Das erinnert mich an die These von @a16zcrypto "Spec is Law" Anfang 2026. Hier ist eine vollständige Aufschlüsselung dessen, was schiefgelaufen ist, und warum die These von a16z nie relevanter war 🧵👇

1/ Der geheime Fehler von Resolv @ResolvLabs’ delta-neutrale Stablecoin (USR) verwendete einen hybriden On-Chain/Off-Chain Mint-Flow: Einzahlungen/Rücknahmen on-chain, @PythNetwork-Preise off-chain verifiziert. Eine einzige SERVICE_ROLE EOA (kein Multisig) finalisierte die Mints und schuf einen kritischen Single Point of Failure.

2/ Wie die $25M Extraktion stattfand Das ist kein Vertragsfehler. Um 2:21 Uhr UTC am 22. März hat ein Angreifer den SERVICE_ROLE-Schlüssel kompromittiert und die Überprüfung umgangen. - Normal: Benutzer hinterlegt $100k USDC → SERVICE_ROLE überprüft Oracle → 100k USR geprägt. - Ausnutzung: Angreifer hinterlegt $100k USDC → Oracle umgangen → 80M USR in zwei Aufrufen geprägt. - Keine On-Chain-Obergrenzen, Verhältnisprüfungen oder Angebotslimits haben dies gestoppt. Der Angreifer hat die ungesicherten USR über @CurveFinance und @Uniswap verpackt und verkauft, wodurch USR auf bis zu $0,025 fiel. Sie tauschten die Erlöse in ~11.400+ ETH (~$23–$25M) um. Der DeFi-Überlauf traf Protokolle, die USR/wstUSR als Sicherheiten verwendeten (Morpho, Fluid, Aave), was zu schlechten Schulden, Liquidationen und Marktstillständen führte, um die Ansteckung einzudämmen.