Resolv USR 稳定币遭攻击

周日凌晨,一起针对 Resolv 协议的漏洞攻击震动 DeFi 市场。多家区块链安全机构指出,攻击者成功利用 USR 稳定币铸造合约的缺陷,创建约 8,000 万枚未被抵押的 USR 代币,并从市场中提取约 2,500 万美元价值的资产。

攻击事件发生于约 02:21 UTC,最早由链上观察帐号 YieldsAndMore 发现异常交易。

攻击过程:小额存款换取巨量代币

根据链上交易资料显示,攻击者首先将 100,000 USDC 存入 Resolv 的 USR Counter 合约,理论上应该只会得到相对应数量的 USR。

然而实际结果却出现严重异常:

  • 第一笔交易铸造 约 5,000 万枚 USR

  • 第二笔交易再生成 约 3,000 万枚 USR

整体产量远高于正常比例,约为预期值的 500 倍。

USR 价格迅速崩跌

USR 是一种与美元挂钩的稳定币,其设计并非以法币储备作为抵押,而是采用 ETH 与 BTC 组合搭配 Delta-neutral 对冲策略,但在大量未抵押代币被铸造后,市场价格迅速失控。

市场反应包括:

  • 在 Curve Finance 流动性池中

  • 价格在 17 分钟内跌至 0.025 美元

USR 稳定币铸造漏洞引发危机:Resolv 协议遭滥发 8,000 万枚代币并造成巨额损失 (来源:DEXSCREENER)

虽然之后短暂回升至约 0.85 美元,但仍未恢复原本的 1 美元锚定。

攻击者资金流向

攻击者地址以 0x04A2 开头,随后进行了一系列套利操作:

  1. 将铸造出的 USR 兑换为 USDC 与 USDT

  2. 透过多个去中心化交易所出售

  3. 最终将资金转换为 ETH

链上资料显示:

  • 主钱包持有 11,409 ETH

  • 价值约 2,370 万美元

此外,另一地址仍持有约 110 万美元的 wstUSR。

Resolv 回应:抵押资产未被盗

事件曝光后,Resolv Labs 在社群平台上表示:

  • 已暂停所有协议功能

  • 抵押资产池仍然完整

  • 问题仅出现在 USR 铸造流程

USR 稳定币铸造漏洞引发危机:Resolv 协议遭滥发 8,000 万枚代币并造成巨额损失 (来源:ResolvLabs)

而分析师指出,虽然抵押资产未被直接盗取,但市场损失仍然十分严重。

权限与验证机制不足

链上分析师 Andrew Hong 指出问题核心在于 SERVICE_ROLE 权限账户,该账户负责处理 swap 请求,但却由一般 EOA 钱包控制,而不是多重签名管理。

同时铸造合约也缺乏多项重要保护措施:

  • 没有 Oracle 价格验证

  • 未限制铸造数量

  • 未检查铸造请求与执行金额

DeFi 投资机构 D2 Finance 提出三种可能原因:

  1. 价格 Oracle 被操控

  2. 离线签名账户遭入侵

  3. 铸造金额验证机制缺失

USR 稳定币铸造漏洞引发危机:Resolv 协议遭滥发 8,000 万枚代币并造成巨额损失 (来源:D2_Finance)

DeFi 生态连锁影响

USR 的崩跌不只影响持币者,也波及 DeFi 借贷市场。USR 及其质押版本 wstUSR 曾被用作抵押品,例如:Morpho、Gauntlet。

部分交易者利用市场价格低于 1 美元的机会:

  • 低价购买 USR

  • 以系统固定的 1 美元估值作为抵押

  • 借出 USDC

这可能导致借贷池流动性被快速抽走。

保险池与流动性层也可能受损

Resolv 的流动性保护机制为 Resolv Liquidity Pool(RLP),其功能是吸收损失以保护 USR。在攻击发生前 RLP 流通价值约 3,860 万美元,其中最大持有者是收益协议 Stream Finance。该协议曾在 2025 年因资产挪用事件损失 9,300 万美元,如今再次面临潜在冲击。

政策层面的监管压力

这起事件发生之际,美国国会正讨论稳定币相关监管,其中包括 GENIUS Act,该法案将针对收益型稳定币进行规范。American Bankers Association 曾警告,此类产品可能会吸走传统银行存款。

总结

Resolv USR 事件再次提醒市场,稳定币的风险不仅来自抵押资产,也可能源自合约设计与权限管理漏洞。即使底层资产未被直接盗取,供应量膨胀与市场信心崩溃仍可能造成巨大损失。随着 DeFi 市场持续扩张,如何建立更完善的监控、权限管理与风险控制机制,将成为稳定币与链上金融发展的重要课题。