暗号資産市場において、ステーブルコインは伝統的金融とWeb3の世界を結ぶ「橋」として認識されており、その安定性と安全性は極めて重要です。しかし、最近、ResolvのUSRステーブルコインを標的とした攻撃が発生し、DeFiのセキュリティに再び警鐘を鳴らしました。2025年3月22日、攻撃者はResolvのUSR発行契約に存在する脆弱性を悪用し、約8,000万枚の担保のないトークンを鋳造し、約2,500万ドル分のETHを盗み取りました。この攻撃により、USRはCurve取引所で0.025ドルまで急落しましたが、その後価格は約0.85ドルまで回復しました。しかし、米ドルとのペグはまだ回復していません。この攻撃は、USRステーブルコインが金本位から外れるだけでなく、複雑なDeFiプロトコルの潜在的な脆弱性、および規制の空白状態における高収益ステーブルコインがもたらす大きなリスクを露呈しました。
一、ResolvのUSRステーブルコインがペグを外れる:攻撃者が8,000万枚の担保なしトークンを鋳造し、2,500万ドル分のETHを窃取
複数のブロックチェーンセキュリティ企業によると、日曜日、攻撃者はResolvのUSR安定通貨鋳造契約の脆弱性を悪用し、約8,000万枚の担保のないトークンを生成し、約2,500万ドルを窃取した。
攻撃手法:攻撃は世界協定時刻2時21分頃に開始されました。XアカウントYieldsAndMoreが最初にこの事件を発見し、Etherscanのトランザクションデータを公開しました。それによると、攻撃者はResolvのUSR Counter契約に10万USDCを預け、その見返りに5000万USRを受け取り、これは予想量の約500倍でした。その後、攻撃者は2番目のトランザクションを通じてさらに3000万USRを鋳造しました。
USRのアノカー崩落:USRは米ドルに連動するステーブルコインで、デルタニュートラルヘッジ戦略を採用し、法定通貨ではなくETHとBTCを裏付けとしています。DEX Screenerのデータによると、このトークンは最初に鋳造されてから17分以内に、最も流動性の高いCurve Financeプールで0.025ドルまで下落しました。その後、価格は約0.85ドルまで回復しましたが、日曜日の朝時点では、米ドルとのペグは回復していません。
盗難資産: 攻撃者は0x04A2で始まるアドレスを使用して、分散型取引所で鋳造されたUSRをUSDCおよびUSDTに交換し、その後得られた資金をETHに変換しました。ブロックチェーンデータによると、投稿時点での攻撃者のウォレットアドレスには11,409 ETH(約2,370万ドル相当)が保有されています。また、攻撃者に属すると確認された別のウォレットアドレスには、約110万ドル相当のwstUSRトークンが保有されています。
Resolv Labsの対応:Resolv LabsはXに関する声明で、すべてのプロトコル機能を一時停止し、抵当ポールは「完全に安全」であり、「基礎資産の損失は一切ない」と述べました。このチームは、この問題が「USR発行メカニズムに限定されている」と述べています。
二、脆弱性の原因分析:特権ミントロールと不十分なアクセス制御
分析者は、この欠陥が、外部所有アカウントによって制御される特権的なミントロールに起因することを発見しました。このアカウントにはミント制限やオラクルチェックがありません。
アクセス制御が脆弱:チェーン上アナリストのAndrew Hongは、このセキュリティ脆弱性を、交換リクエストを処理するための特権アカウントであるSERVICE_ROLEロールの問題と指摘した。このロールはマルチシグアカウントではなく、標準的な外部アカウント(EOA)によって制御されている。さらに、ミント契約にはオラクルチェック、数量検証、最大ミント上限が欠けている。
監査とモニタリングの不足:DeFiファンドのD2 Financeは、オラクルの改ざん、オフチェーン署名者の侵入、または新規発行リクエストと完了間の金額検証の欠如の3つの可能性を挙げている。YieldsAndMoreもこの分析に賛同し、Resolvプロトコルのガバナンスメカニズムはその規模に見合ったセキュリティ対策を欠いていると指摘した。「監査に頼るだけでは不十分です。新規発行と供給量をリアルタイムでモニタリングしない限り、最も重要な瞬間にあなたは盲目になります。」とCyversのCEOであるDeddy Lavid氏はThe Blockに語った。
三、USR保有者が巨額の損失に見舞われる:供給の膨張と流動性の枯渇
Resolvがその抵当プールが「完全に無傷である」と主張することは技術的には正しいが、この主張は損失を過小評価している。
供給の膨張:チェーンアナリストが指摘しているように、この攻撃は抵当資産の直接的な窃取ではなく、供給の膨張という形をとりました。新たに発行された8,000万枚のトークンが既存の供給量を希釈し、攻撃者の売却行為により抵当プールの流動性が完全に破壊されました。当時USRを保有していたすべてのユーザーは即座に損失を被りました。
DeFi貸出市場への影響:アンカリング解除の影響はDeFi貸出市場にも及んだ。USRおよびその质押デリバティブであるwstUSRは、MorphoやGauntletなどのプラットフォームで担保として受け入れられている。一部の投機的なトレーダーが割引価格でUSRを購入し、1ドルの固定評価額でUSDCを借り入れることで、これらの金庫内の安定通貨の流動性を枯渇させた可能性がある。D2 Financeは、Gauntletが管理するMorphoプラットフォーム上の金庫も影響を受けたと指摘している。
サブシェアと連鎖反応:損失はResolvのサブシェアにも波及する可能性がある。Resolvライクウィディティプール(RLP)は、USR保有者を保護するための保険メカニズムとして機能し、脆弱性が悪用される前の価格では、流通資金は約3860万ドルである。YieldsAndMoreの報道によると、StreamはMorphoに1360万RLPのポジションを保有しており、ネットエクスポージャーは約1700万ドルにのぼる。これは、そのデポジターがさらに大きな損失に見舞われる可能性を示している。
時価総額が大幅に縮小:CoinMarketCapのデータによると、USRの時価総額は2月初頭の約4億ドルから、攻撃前の約1億ドルまで低下しました。今回の攻撃の影響で、RESOLVガバナンストークンの価格は過去24時間で約8.5%下落しました。
四、Resolvの背景とDeFiハッキングの一般的な発生
Resolvは2025年4月、Cyber.FundとMaven11が主導し、Coinbase Ventures、Arrington Capital、Animoca Venturesが参加する1,000万ドルのシードラウンドを調達し、Delphi Labsによって孵化されました。
監査とバグバウンティ:Resolvのウェブサイトは、5社の14件の監査を完了し、50万ドルのImmunefiバグバウンティプログラムを設立したほか、継続的なスマートコントラクト監視サービスを提供していると主張しています。
DeFiハッキングのトレンド:今回の脆弱性悪用事件は、2026年のDeFiハッキング件数をさらに押し上げました。Resolv事件は、2026年初頭の暗号資産攻撃の一連の事例の最新のものです。今年1月、Truebitは5年前にデプロイされたスマートコントラクトの脆弱性を悪用されたことで2660万ドルを損失しました。同月、Makina Financeの安定通貨プールも、攻撃者がスイフトローンを利用してプロトコルのオラクルを操作したことで約500万ドルを損失しました。Immunefiが先週発表したレポートによると、現在の暗号資産ハッキングの平均損失額は約2500万ドルであり、2024-2025年間に発生した損失額上位5件の攻撃が、盗まれた資金全体の62%を占めています。
五、政策と規制のタイミング:収益型ステーブルコインのリスク
政策の観点から見ても、タイミングは非常に興味深いです。なぜなら、米国の立法者は《GENIUS法案》に基づいて収益型ステーブルコインを規制する方法について積極的に議論しているからです。
預金流出のリスク:米国銀行協会は、このような製品が預金を従来の銀行から移動させる可能性があると警告しています。
規制合意:複数の主要な上院議員が先週金曜日、ステーブルコインの収益処理方法について「原則合意」に達した。
まとめ:
攻撃者が8,000万枚の担保のないトークンを鋳造し、約2,500万ドルを盗み取った後、ResolvのUSRステーブルコインは金の価値と連動する仕組みから逸脱し、DeFiセキュリティの重要性を再び浮き彫りにした。この事件は、高収益ステーブルコインが複雑な契約設計、アクセス制御、監査において潜在的な脆弱性を抱えていることを明らかにするとともに、DeFiエコシステム全体の信頼メカニズムに深刻な挑戦を突きつけた。