契約のアップグレードでハッカーのトークンを破壊し、34百万ドルのCapsエクスプロイト損失を解消
Resolv Labs は、攻撃者の支配下にあった 36.73 million wstUSR および stUSR トークンを恒久的にバーンするため、2026年4月6日にオンチェーンでコントラクトのアップグレードを実行しました。これにより、3月22日のエクスプロイトによるプロトコルの推定純損失は約 $34 million に上限が設けられました。
攻撃者は、侵害された AWS ホスティングの秘密鍵を使って、担保として $100,000〜$200,000 しかない状態で裏付けのない USR トークンを 80 million ミントしました。流動性が尽きる前に、34 million USR を 11,409 ETH(約 $24.5 million 相当)へスワップし、その一方で残りのトークンはプロトコルのアップグレードによってバーンされました。
Resolv はコントラクトのアップグレードでハッカーのトークンを破壊
オンチェーンで確認されたアップグレード取引は、まず stUSR を USR にアンラップし、その後両方をゼロアドレスへ送信しました。これにより、ハッカーを含め誰もそのトークンを取り戻せない状態になりました。Resolv はそれ以前にプロトコルを一時停止し、10% のホワイトハット報奨金も提示していましたが、ハッカーは平和的な解決に関心を示さなかったため、チームはアップグレード権限を行使して残りのトークンを破壊しました。
エクスプロイトは 2026年3月22日に発生しました。攻撃者は、SERVICE_ROLE を制御する侵害済みの AWS ホスティング秘密鍵 1つを使って、2件の大口ミントを承認しました。攻撃者が担保として USDC を $100,000〜$200,000 しか預けていないにもかかわらず、プロトコルは裏付けのない USR トークン 80 million を発行しました。ハッカーはすぐに 34 million USR を 11,409 ETH にスワップし、当時のおよそ $24.5 million 相当となっていました。流動性が費やされる前にスワップは完了していました。残りのトークンは、主に wstUSR としてラップされた状態で、エクスプロイターのウォレット内に眠ったままでした。
ハッカーの行為によって生じたデペッグにより、USR は Curve 上で $0.025 まで下落しました。Resolv のコントラクトのアップグレードは、過去に Flow のような他のプロジェクトで検討されてきたレバーと同様の中央集権化リスクとして批判されてきましたが、この機転によってプロトコルの総推定損失は約 $34 million でうまく上限が設けられました。
DeFi プロトコルは Resolv のエクスプロイトから被害範囲を受ける
Resolv のボールト(vaults)にエクスポージャーを持つ DeFi プロトコルは、被害範囲(blast radius)の中に巻き込まれました。Morpho のボールトは、数百万ドル規模の不良債権(bad debt)を吸収し、大規模な資金流出を引き起こしました。DeFi アナリティクスのプラットフォーム Trading Strategy は、Resolv のプライベートキー侵害の結果として、多くのボールトが非流動化し、担保が一夜で価値を失ったと指摘しました。いくつかの Morpho のボールトでは突然高い利回りが表示されましたが、それらのボールトは非流動的であり、預金者が引き出せる可能性は低い状況でした。
優良なキュレーターは、最大預け入れ額をゼロに設定することで新規の預け入れを防ぎましたが、ボールトの標準仕様には「壊れた」ボールト用の別フラグはなく、「最大容量に達した」だけが用意されています。Trading Strategy は問題のあるボールトを手動でブラックリストに登録していますが、そのプロセスには時間がかかります。
より広い DeFi ハックのパターンは Drift と Balancer でも継続
Resolv のエクスプロイトは、大規模な DeFi ハックという陰惨なパターンに追い打ちをかけるものです。Resolv の直前の数週間前に、先駆的な自動マーケットメーカー(AMM)の背後にある営利企業 Balancer Labs は、2025年11月の攻撃で $128 million を失ったことを受けて閉鎖すると発表していました。Balancer の CEO は、流動性プールが操作されたボールト連携(vault interactions)を通じて吸い出され、ハックによる継続的な法的な影響と金銭的な損失があったと述べました。Balancer DAO とプロトコルは存続していますが、中核となる開発会社は実質的に終了しています。
2026年4月は、Drift Protocol が 4月1日に北朝鮮の国家支援型ハッカーに関連して $285 million の損失を報告したことから始まりました。Resolv にとっては、最終的な損失額を $34 million として提示することで、回復の明確な基準線が得られます。Balancer が享受できなかったプロトコルの時間を買えたためです。オペレーションは引き続き停止されたままです。
FAQ
Resolv のエクスプロイトはどのように発生しましたか?
攻撃者は、SERVICE_ROLE を制御する 1つの AWS ホスティング秘密鍵を侵害し、それにより担保として $100,000〜$200,000 しかない状態で 80 million の裏付けのない USR トークンをミントできるようにしました。彼らは流動性が尽きる前に 34 million USR を 11,409 ETH(≈$24.5 million)とスワップしました。Resolv はその後、コントラクトのアップグレードによって残りの 36.73 million トークンをバーンしました。
Resolv の最終的な推定損失はいくらですか?
Resolv の純損失は約 $34 million です。攻撃者は約 $24.5 million 相当を ETH で引き出しており、プロトコルのアップグレードは、残りのハッカー保有トークンを破壊することで、これ以上の損失を防ぎました。
最近のハックで影響を受けた他の DeFi プロトコルはありますか?
Balancer Labs は 2025年11月の $128 million のハックの後に閉鎖し、Drift Protocol は 2026年4月1日に $285 million のエクスプロイトに見舞われました。Morpho のボールトも Resolv の件による不良債権(bad debt)を吸収し、非流動化して大規模な資金流出につながりました。