稳定币USR闪崩脱钩!Resolv爆铸币漏洞遭黑客卷走2500万美元
2026-03-23分类:稳定币(Stablecoin) 阅读()
综合多家链上资安机构报告,DeFi 协议Resolv 周日遭受漏洞攻击,黑客以极低成本铸造8,000 万枚未经抵押的稳定币USR,迅速抛售后成功套现约2,500 万美元,不仅引发USR 币价严重脱钩,更在借贷市场掀起骨牌效应。
这起攻击在3 月22 日上午10 点21 分左右发生。链上数据显示,黑客当时先是向Resolv 的智能合约存入10 万枚USDC,却得以换回高达5,000 万枚的USR,较正常兑换比例足足多出500 倍。随后,黑客食髓知味,再度透过第二笔交易额外铸造了3,000 万枚USR 。
作为一款标榜与美元1:1 挂钩的稳定币,USR 的运作逻辑并非依赖传统的法定货币储备,而是透过以太币、比特币建立「Delta 中性避险策略(Delta-neutral hedging,藉由多空部位对冲以消除价格波动风险)」来维持价值。
根据DEX Screener 数据,黑客铸造首批代币后,USR 在流动性最深厚的Curve Finance 资金池中,短短17 分钟内就暴跌至0.025 美元,尽管随后一度回升至0.85 美元附近,但写稿时仍未能恢复1 美元锚定。
黑客洗钱手法俐落,官方称「抵押池完好无损」惹议
得手后,黑客(钱包地址以0x04A2 开头)迅速在各大DEX 将这些凭空铸造的USR 兑换成USDC 、 USDT,然后又全数转换为以太币。链上数据显示,黑客钱包内已囤积多达11,409 枚以太币(价值约2,370 万美元)。
事件曝光后,Resolv Labs 在社群平台X发表声明指出,团队已暂停所有协议功能,强调「抵押池完好无损」、没有丢失任何底层资产,并将这次事故定调为「单纯的USR 发行机制漏洞」。
权限控管如同虚设
尽管官方试图淡化冲击,资安专家们却不买帐。链上数据分析师Andrew Hong指出,攻击破口源于协议中负责处理兑换请求的特权帐户「SERVICE_ROLE」。令人震惊的是,如此关键的权限,竟只由一个普通的外部帐户(EOA,即单一个人钱包)掌控,而非更安全的多重签名帐户。更致命的是,铸币合约也缺乏预言机报价验证、数量检核,甚至连「铸造上限」都并未设定。
DeFi 投资基金D2 Finance 也列出了3 种可能的肇因:预言机遭恶意操纵、链下签章者遭入侵,又或是并未在铸币请求与执行之间加入金额验证程序。率先曝光这起事故的YieldsAndMore 也感叹,以Resolv 这样具备一定资金规模的协议,核心管理权限竟缺乏最基本的安全护栏。
区块链资安公司Cyvers 执行长Deddy Lavid 指出:「这正是稳定币风险真正浮现的地方。光靠定期的合约审计是远远不够的。如果没有实时监控代币铸造与供应量,当危机来临时,团队就如同蒙上双眼般无能为力。」
无妄之灾!无形通膨洗劫散户,骨牌效应冲击借贷市场
尽管Resolv 官方声称抵押池「完好无损」在技术上是事实,但这种说词显然低估了事件的杀伤力。链上分析师点出,这场攻击并非直接「掏空」金库,而是采取了更隐蔽的「供应通膨」手法。 8,000 万枚凭空出现的新代币,瞬间稀释了原有的流通价值,而黑客倒货砸盘更是直接抽干了流动性资金池。这意味着,事发当下手握USR 的投资人,资产价值都已在瞬间遭到无情洗劫。
这场风暴更迅速蔓延至其他DeFi 借贷市场。由于USR 及其衍生代币被许多借贷平台(如Morpho 、 Gauntlet)认可为抵押品,投机客见机不可失,纷纷在市场上低价买进USR,再拿到借贷平台上,利用系统预设「1 USR = 1 美元」的僵化定价,大举借出真金白银的USDC 。这波「空手套白狼」的操作,直接榨干了借贷金库的流动性。
曾获千万融资与14 次顶级审计,如今跌落神坛
事实上,在遭遇黑客毒手之前,Resolv 协议的资金规模就已在持续萎缩。 USR 的市值从今年2 月初的4 亿美元高点,一路滑落至事发前的1 亿美元左右。
回顾过去,总部位于阿布达比的Resolv 曾是资本宠儿,在2025 年完成1,000 万美元的种子轮融资,连Coinbase Ventures 等业界大咖也参与其中。最讽刺的是,Resolv 官网上至今仍高挂着傲人的资安履历:历经5 家顶级机构共14 次严格审计、提供高达50 万美元的抓漏赏金,并号称拥有「24 小时不间断的智能合约监控」。然而,这场2,500 万美元的血淋淋教训,无疑重重打脸了这些资安防线。
Tags:
