Resolv Protocol 遭駭：透過 USR 穩定幣漏洞遭竊取 2,500 萬美元

重點摘要

• 一名老練的攻擊者利用 Resolv 的 USR 鑄幣機制漏洞,僅以 200,000 美元的 USDC 初始存款就生成了約 8,000 萬枚無抵押代幣
• 駭客成功提取了 11,409 枚 ETH,價值約 2,500 萬美元
• USR 的價值在 Curve Finance 上暴跌到 0.025 美元,之後部分回升至約 0.85 美元
• Resolv 已暫停所有協議運作;儘管團隊聲稱抵押品池仍然安全,但 USR 代幣持有者因供應膨脹而遭受重大損失
• 包括 Morpho、Lido 和 Aave 在內的主要 DeFi 平台迅速做出回應,以評估和降低其風險敞口

週日,Resolv 的 USR 穩定幣遭遇重大安全漏洞,攻擊者利用鑄幣基礎設施的漏洞生成了約 8,000 萬枚無抵押代幣,最終從協議中抽走了價值約 2,500 萬美元的以太幣。

惡意活動於協調世界時凌晨 2:21 左右開始。攻擊者通過將 100,000 USDC 存入 Resolv 的 USR Counter 合約發起攻擊,獲得了驚人的 5,000 萬 USR 作為回報——約為合法金額的 500 倍。後續交易又產生了 3,000 萬枚代幣。

在未經授權的鑄幣之後,攻擊者系統性地通過各種去中心化交易所將欺詐性 USR 兌換成 USDC 和 USDT,隨後將收益整合為 ETH。攻擊者的錢包目前持有 11,409 枚 ETH,按當前市值計算約為 2,370 萬美元。

USR 被設計為維持 1 美元的價格錨定,但在初始鑄幣交易後僅 17 分鐘就在 Curve Finance 上災難性地崩潰到 0.025 美元。雖然該代幣部分反彈至約 0.85 美元,但截至週日上午仍顯著脫錨。

儘管有這些保證,區塊鏈分析師強調現有 USR 持有者遭受了重大損失。8,000 萬枚新鑄代幣的大量湧入嚴重稀釋了流通供應量,而攻擊者的激進拋售耗盡了可用的流動性池。任何在事件期間持有 USR 的投資者都遭受了即時的投資組合損失。

安全漏洞追溯到訪問管理不足

區塊鏈安全分析師 Andrew Hong 確定漏洞源頭為指定為 SERVICE_ROLE 的特權帳戶。這個關鍵帳戶由單一外部擁有帳戶控制,而非更安全的多重簽名錢包。鑄幣合約缺乏基本保障措施,包括預言機驗證、金額驗證協議和最大鑄幣門檻。

Pashov,一家曾於 2025 年 7 月審計 Resolv 質押模組的安全公司,告知 Cointelegraph,根本問題似乎源於私鑰洩露,而非協議架構設計的固有弱點。

Resolv 官方網站記錄了由五家不同安全公司進行的 14 次獨立審計,在 Immunefi 上託管的 500,000 美元漏洞賞金計劃,以及持續的智能合約監控系統。

DeFi 生態系統回應以遏制影響

眾多 DeFi 平台在漏洞發生後實施了快速應對措施。Lido 確認存入 Lido Earn 的用戶資金仍然安全。Aave 創辦人 Stani Kulechov 表示該平台沒有直接的 USR 風險敞口,並確認 Resolv 正在積極償還未償債務。Morpho 聯合創辦人 Merlin Egalite 澄清只有特定金庫有 USR 風險敞口。

傳染效應在借貸生態系統中蔓延

USR 及其質押衍生品 wstUSR 都被批准作為 Morpho 和 Gauntlet 等平台的抵押資產。市場分析師觀察到,投機交易者可能以嚴重折價購買了 USR,並利用它以完整的 1 美元估值借入 USDC,有效地耗盡了受影響金庫的流動性儲備。

Resolv 的次級保險層級 RLP 也面臨潛在的資本減損。Stream Finance 持有約 1,360 萬 RLP 頭寸,價值約 1,700 萬美元,可能向其存款人群體傳遞額外損失。Stream 曾披露 2025 年 11 月的 9,300 萬美元損失。

RESOLV 治理代幣在安全漏洞發生後的 24 小時內下跌了約 8.5%。

這次 Resolv 事件體現了更廣泛的行業模式。根據 Immunefi 最近的報告,現在平均加密貨幣駭客攻擊造成約 2,500 萬美元的損失,2024-2025 年間最大的五次攻擊佔總被盜資金的 62%。

文章 Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability 首次出現在 Blockonomi。