DeFi-exploits in 2026 hebben tot nu toe al $137M bereikt, en het is pas maart. De ranglijst is meedogenloos: • @StepFinance_: $27,3M • @Truebitprotocol: $26,2M • @ResolvLabs: $25M (Gisteren) ​ Het is zeldzaam in de geschiedenis van DeFi om te zien dat een storting van $100k in enkele seconden verandert in een $80M stablecoin-munt. Dit doet me denken aan de thesis van @a16zcrypto "Spec is Law" begin 2026. Hier is een complete uiteenzetting van wat er misging, en waarom de thesis van a16z relevanter is dan ooit 🧵👇

1/ De Geheime Fout van Resolv @ResolvLabs’ delta-neutrale stablecoin (USR) gebruikte een hybride on-chain/off-chain mint flow: stortingen/terugbetalingen on-chain, @PythNetwork prijzen geverifieerd off-chain. Een enkele SERVICE_ROLE EOA (geen multisig) voltooide de minting, wat een kritieke single point of failure creëerde.

2/ Hoe de $25M Extractie Plaatsvond Dit is geen contractfout. Rond 2:21 AM UTC op 22 maart heeft een aanvaller de SERVICE_ROLE-sleutel gecompromitteerd en de verificatie omzeild. - Normaal: Gebruiker stort $100k USDC → SERVICE_ROLE controleert oracle → 100k USR gemint. - Exploit: Aanvaller stort $100k USDC → oracle omzeild → 80M USR gemint in twee oproepen. - Geen on-chain limieten, ratio-controles of aanbodlimieten hebben het gestopt. De aanvaller heeft de niet-gedekte USR gewrapt en gedumpt over @CurveFinance en @Uniswap, waardoor USR zo laag als $0.025 kwam. Ze hebben de opbrengsten omgewisseld voor ~11.400+ ETH (~$23–$25M). DeFi spillover trof protocollen die USR/wstUSR als onderpand gebruikten (Morpho, Fluid, Aave), wat leidde tot slechte schulden, liquidaties en marktbevriezingen om besmetting te beheersen.