在加密貨幣市場,穩定幣被視為連接傳統金融與 Web3 世界的「橋樑」,其穩定性與安全性至關重要。然而,近日一宗針對 Resolv 的 USR 穩定幣的攻擊事件,再次敲響了 DeFi 安全的警鐘。2025 年 3 月 22 日,攻擊者利用 Resolv 的 USR 銅鑄合約中的漏洞,鑄造了約 8000 萬枚無擔保代幣,並竊取了約 2500 萬美元的 ETH。這一事件導致 USR 在 Curve 交易所暴跌至 0.025 美元,隨後價格回升至約 0.85 美元,但其與美元的掛鉤尚未恢復。這起攻擊不僅使 USR 穩定幣脫離黃金錨定,更暴露了複雜 DeFi 協議的潛在脆弱性,以及在監管真空下,高收益穩定幣可能帶來的巨大風險。
一、Resolv 的 USR 穩定幣脫鉤:攻擊者鑄造 8000 萬枚無擔保代幣,竊取 2500 萬美元 ETH
多家區塊鏈安全公司表示,週日,一名攻擊者利用 Resolv 的 USR 穩定幣鑄造合約中的漏洞,創建了約 8000 萬個無擔保代幣,並竊取了約 2500 萬美元。
攻擊手法:攻擊始於世界協調時凌晨2點21分左右。X賬戶 YieldsAndMore 率先發現此事件,並發布了 Etherscan 交易數據,顯示攻擊者向 Resolv 的 USR Counter 合約存入了 10 萬 USDC,並獲得 5000 萬 USR 作為回報,約為預期數量的 500 倍。隨後,攻擊者又透過第二筆交易額外鑄造了 3000 萬 USR。
USR脫鉤暴跌:USR 是一種與美元掛鉤的穩定幣,採用 delta 中性對沖策略,並以 ETH 和 BTC 而非法幣儲備作為支撐。根據 DEX Screener 數據,該代幣在首次鑄造後的 17 分鐘內,在其流動性最強的 Curve Finance 資金池中跌至 0.025 美元。之後價格回升至約 0.85 美元,但截至週日上午,其與美元的掛鉤尚未恢復。
被盜資產:攻擊者使用一個以 0x04A2 開頭的地址,在去中心化交易所將鑄造的 USR 兌換為 USDC 和 USDT,然後將所得兌換為 ETH。根據區塊鏈數據,截至發稿時,攻擊者的錢包地址持有 11,409 個 ETH,價值約 2370 萬美元。另一個被確認屬於攻擊者的錢包地址持有價值約 110 萬美元的 wstUSR 代幣。
Resolv Labs 的回應:Resolv Labs 在關於 X 的聲明中表示,已暫停所有協議功能,其抵押池「完全完好無損」,「沒有基礎資產」損失。該團隊稱該問題「僅限於 USR 發行機制」。
二、漏洞原因分析:特權鑄幣角色與薄弱的存取控制
分析人員發現,該缺陷源於一個由外部所有帳戶控制的特權鑄幣角色,該帳戶沒有鑄幣限制或預言機檢查。
存取控制薄弱:鏈上分析師 Andrew Hong 將此次安全漏洞歸咎於協議的 SERVICE_ROLE 角色,這是一個用於完成兌換請求的特權帳戶。該角色由一個標準的外部帳戶(EOA)控制,而非多重簽名帳戶。此外,鑄幣合約缺少預言機檢查、數量驗證和最大鑄幣限額。
審計與監控不足:DeFi基金D2 Finance列出了三種可能的解釋:預言機被篡改、鏈下簽名者遭到入侵,或鑄幣請求與完成之間的金額驗證缺失。YieldsAndMore也認同此分析,並指出Resolv協議的管理機制缺乏與其規模相匹配的安全保障。「僅僅依靠審計是不夠的,如果你不實時監控鑄幣和供應量,在最關鍵的時刻你就如同盲人一般。」Cyvers的首席執行官Deddy Lavid告訴The Block。
三、USR 持有者面臨巨額損失:供應膨脹與流動性枯竭
儘管 Resolv 声稱其抵押池「完全完好無損」的說法在技術上是正確的,但這種說法低估了損失。
供應膨脹:正如鏈上分析師所指出的,此次攻擊採用的是供應膨脹形式,而非直接竊取抵押資產。新增的8000萬枚代幣稀釋了現有供應量,攻擊者的拋售行為徹底摧毀了抵押池的流動性。當時持有USR的任何人都立即遭受了損失。
影響 DeFi 借貸市場:脫鉤效應也波及至 DeFi 借貸市場。USR 及其質押衍生品 wstUSR 被 Morpho 和 Gauntlet 等平台接受為抵押品。一些投機交易者可能以折扣價購入 USR,並以 1 美元的固定估值借入 USDC,從而耗盡了這些金庫中的穩定幣流動性。D2 Finance 指出,Morpho 平台上由 Gauntlet 管理的金庫也受到了影響。
次級份額與連鎖反應:損失還可能波及 Resolv 的次級份額。Resolv 流動性池(RLP)作為一層保險機制,吸收損失以保護 USR 持有者,在漏洞利用前的價格下,其流通資金約為 3860 萬美元。據 YieldsAndMore 報導,Stream 在 Morpho 持有 1360 萬股 RLP 頭寸,淨敞口約為 1700 萬美元,這意味著其存款人可能面臨另一次重大損失。
市值大幅縮水:根據 CoinMarketCap 的數據,USR 的市值已從 2 月初的約 4 億美元跌至攻擊前的約 1 億美元。受此次攻擊影響,RESOLV 治理代幣的價格在過去 24 小時內下跌了約 8.5%。
四、Resolv 的背景與 DeFi 黑客攻擊的普遍性
Resolv 於 2025 年 4 月完成 1000 萬美元種子輪融資,由 Cyber.Fund 和 Maven11 領投,Coinbase Ventures、Arrington Capital 和 Animoca Ventures 參投,並由 Delphi Labs 孵化。
審計與漏洞賞金:Resolv 的網站聲稱已完成對五家公司的 14 項審計項目,並設立了 50 萬美元的 Immunefi 漏洞賞金計劃,同時提供持續的智能合約監控服務。
DeFi 黑客攻擊趨勢:此次漏洞利用事件進一步推高了 2026 年 DeFi 黑客攻擊的數量。Resolv 事件是 2026 年初一系列加密貨幣攻擊事件中的最新一起。今年 1 月,Truebit 因攻擊者利用五年前部署的智能合約漏洞而損失了 2660 萬美元。同月,Makina Finance 的穩定幣池也因攻擊者利用閃電貸操縱協議預言機而損失了約 500 萬美元。Immunefi 上週發布的一份報告顯示,目前加密貨幣黑客攻擊的平均損失約為 2500 萬美元,2024-2025 年間損失金額排名前五的攻擊事件佔所有被盜資金的 62%。
五、政策與監管的時機:收益型穩定幣的風險
從政策角度來看,時機也頗為耐人尋味,因為美國立法者正在積極討論如何根據《GENIUS法案》監管收益型穩定幣。
銀行存款流失風險:美國銀行家協會警告稱,此類產品可能會將存款從傳統銀行轉移出去。
監管共識: 幾位關鍵參議員已於上週五就穩定幣收益的處理方式達成「原則性協議」。
結語:
Resolv 的 USR 穩定幣在攻擊者鑄造了 8000 萬枚無擔保代幣並竊取約 2500 萬美元後脫鉤黃金,再次為 DeFi 安全敲響警鐘。此事件不僅揭示了高收益穩定幣在複雜合約設計、存取控制和審計方面可能存在的漏洞,更對整個 DeFi 生態的信任機制提出了嚴峻挑戰。