根據多家區塊鏈安全公司的說法,一名攻擊者於週日利用 Resolv 的 USR 穩定幣鑄造合約中的漏洞,鑄造了約 8000 萬枚無擔保代幣,並提取了約 2500 萬美元。
此次攻擊始於世界標準時間 (UTC) 凌晨 2 點 21 分左右。X 帳號 YieldsAndMore 最先發現此事件,發布的 Etherscan 交易數據顯示,攻擊者將 10 萬枚 USDC 存入 Resolv 的 USR Counter 合約,並換取了 5000 萬枚 USR,大約是預期數量的 500 倍。第二筆交易又鑄造了額外的 3000 萬枚 USR。
USR 是一種與美元掛鉤的穩定幣,採用 Delta 中性對沖策略,由 ETH 和 BTC 支持,而非法定貨幣儲備。根據 DEX Screener 的數據,在首次鑄幣後的 17 分鐘內,該代幣在其流動性最高的 Curve Finance 池中跌至 0.025 美元。它隨後回升至約 0.85 美元,但在週日早上仍未恢復掛鉤。
攻擊者從一個以 0x04A2 開頭的地址操作,在去中心化交易所將鑄造的 USR 換成 USDC 和 USDT,然後將所得款項兌換成 ETH。根據區塊鏈數據,攻擊者的錢包地址持有 11,409 枚 ETH,在發稿時價值約 2370 萬美元。另一個被確認屬於攻擊者的錢包地址持有約 110 萬美元的 wstUSR 代幣。
Resolv Labs 在其 X 聲明中表示,已暫停所有協議功能,其抵押品池「保持完整」,且「沒有基礎資產」損失。該團隊稱此問題「僅限於 USR 發行機制」。
鏈上分析師 Andrew Hong 將此次洩漏歸因於協議的 SERVICE_ROLE,這是一個完成兌換請求的特權帳戶。該角色由標準的外部擁有帳戶 (EOA) 控制,而非多重簽名 (multisig)。鑄幣合約缺乏預言機檢查、金額驗證和最大鑄幣限制。
DeFi 基金 D2 Finance 提出了三種可能的解釋:預言機被操縱、鏈下簽名者遭到入侵,或者鑄幣請求與其完成之間的金額驗證根本不存在。YieldsAndMore 呼應了這一分析,並指出該管理角色缺乏像 Resolv 這種規模協議應有的保護措施。
鏈上安全公司 Cyvers 的執行長 Deddy Lavid 告訴 The Block:「這正是穩定幣風險變得真實的地方。單靠審計是不夠的,如果你不即時監控鑄幣和供應,在關鍵時刻你將會盲目。」
「這與日益增長的攻擊趨勢有關,這些攻擊專注於安全團隊的盲點——那些不直接持有資金,但可用於存取資金的敏感密鑰和憑證,」密鑰管理公司 Sodot 的執行長 Ido Sofer 告訴 The Block。
儘管 Resolv 聲稱其抵押品池「保持完整」在技術上是準確的,但此說法低估了損害。正如鏈上分析師所指出的,這次攻擊是以供應膨脹的形式發生,而非直接盜取支持資產。8000 萬枚新代幣稀釋了現有供應,攻擊者的拋售耗盡了資金池流動性。當時持有 USR 的任何人都面臨即時損失。
脫鉤也蔓延到 DeFi 借貸市場。USR 及其質押衍生品 wstUSR 被 Morpho 和 Gauntlet 等平台接受為抵押品。機會主義交易者可能以折價市場價購買 USR,並以硬編碼的 1 美元估值抵押借入 USDC,從而抽乾這些金庫中的穩定幣流動性。D2 Finance 指出,Morpho 上由 Gauntlet 精心策劃的金庫也受到了影響。
損害也可能蔓延到 Resolv 的次級部分。YieldsAndMore 指出,作為吸收損失以保護 USR 持有者的保險層 Resolv 流動性池 (RLP),在漏洞利用前價格下,約有 3860 萬美元在流通。最大的 RLP 持有者是 Stream Finance,這家收益協議在 2025 年 11 月外部基金經理挪用資產後,披露了 9300 萬美元的損失。
根據 YieldsAndMore 的說法,Stream 在 Morpho 上持有 1360 萬 RLP 頭寸,約代表 1700 萬美元的淨敞口,這意味著其存款人可能面臨又一次重大損失。
此次漏洞攻擊發生在一個已經在縮水的協議上。根據 CoinMarketCap 的數據,在攻擊發生前,USR 的市值已從 2 月初的約 4 億美元跌至約 1 億美元。在漏洞利用後,RESOLV 治理代幣在過去 24 小時內價格下跌了約 8.5%。
總部位於阿布達比的 Resolv 於 2025 年 4 月由 Cyber.Fund 和 Maven11 領投,並獲得 Coinbase Ventures、Arrington Capital 和 Animoca Ventures 參與,籌集了 1000 萬美元的種子輪資金。它透過 Delphi Labs 孵化,透過資金費率套利和將 USR 與承擔風險的保險層 RLP 配對的雙層系統提供收益。
Resolv 的網站宣稱曾與五家公司進行 14 次審計,擁有 50 萬美元的 Immunefi 漏洞賞金,並持續監控智能合約。Resolv 未立即回應 The Block 的置評請求。
Resolv 事件是 2026 年初一系列加密漏洞攻擊中的最新一起。今年 1 月,Truebit 因攻擊者鎖定了一個五年前部署的智能合約中的漏洞而損失了 2660 萬美元。同月,Makina Finance 因攻擊者使用閃電貸操縱協議的預言機,從一個穩定幣池中損失了約 500 萬美元。Immunefi 上週發布的一份報告發現,平均加密貨幣駭客攻擊現在造成約 2500 萬美元的損失,2024-2025 年的五大漏洞攻擊佔所有被盜資金的 62%。
從政策角度來看,時機也值得注意,因為美國立法者正在積極辯論如何根據《GENIUS 法案》監管附息穩定幣。美國銀行家協會警告說,此類產品可能會將存款從傳統銀行中吸走,關鍵參議員週五就穩定幣收益處理達成「原則性協議」。
免責聲明:The Block 是一個提供新聞、研究和數據的獨立媒體機構。截至 2023 年 11 月,Foresight Ventures 是 The Block 的主要投資者。Foresight Ventures 投資於加密領域的其他公司。加密交易所 Bitget 是 Foresight Ventures 的主要有限合夥人。The Block 繼續獨立運作,提供客觀、有影響力且及時的加密行業資訊。這是我們當前的財務披露。
© 2026 The Block。版權所有。本文僅供參考。它不作為或不打算用作法律、稅務、投資、金融或其他建議。