DeFi-utnyttelser i 2026 har så langt allerede nådd 137 millioner dollar, og det er bare mars. Ledertavlen er brutal: • @StepFinance_: 27,3 millioner dollar • @Truebitprotocol: 26,2 millioner dollar • @ResolvLabs: 25 millioner dollar (i går) ​ Det er sjeldent i DeFi-historien å se et depositum på 100 000 dollar bli til en stablecoin-mynt på 80 millioner dollar på sekunder. Dette minner meg om @a16zcrypto sin avhandling «Spec is Law» tidlig i 2026. Her er en fullstendig gjennomgang av hva som gikk galt, og hvorfor a16z sin tese aldri har vært mer relevant 🧵👇

1/ Den hemmelige feilen ved besluttsomhet @ResolvLabs' delta-nøytral stablecoin (USR) brukte en hybrid on-chain/off-chain myntflyt: innskudd/innløsning on-chain, @PythNetwork prisverifisert off-chain. En enkelt SERVICE_ROLE EOA (ikke en multisig) fullførte mints, noe som skapte et kritisk enkelt feilpunkt.

2/ Hvordan utvinningen til 25 millioner dollar skjedde Dette er ikke en kontraktsfeil. Rundt klokken 02:21 UTC den 22. mars kompromitterte en angriper SERVICE_ROLE-nøkkelen og omgikk verifiseringen. - Normalt: Bruker setter inn 100 000 USD → SERVICE_ROLE sjekk oracle → 100 000 USR preget. - Utnyttelse: Angriperen setter inn 100 000 USDC → orakel omgått → 80 millioner USR preget i to samtaler. - Ingen kjedebegrensninger, ratio-sjekker eller forsyningsgrenser stoppet det. Angriperen pakket inn og dumpet den usikrede USR over @CurveFinance og @Uniswap, og presset USR så lavt som 0,025 dollar. De byttet inntekter til ~11 400+ ETH (~23–25 millioner dollar). DeFi spillover traff protokoller med USR/wstUSR som sikkerhet (Morpho, Fluid, Aave), noe som utløste dårlig gjeld, likvidasjoner og markedsfryser for å begrense smitten.