綜合多家鏈上資安機構報告,DeFi 協議 Resolv 周日遭受漏洞攻擊,駭客以極低成本鑄造 8,000 萬枚未經抵押的穩定幣 USR,迅速拋售後成功套現約 2,500 萬美元,不僅引發 USR 幣價嚴重脫鉤,更在借貸市場掀起骨牌效應。 這起攻擊在 3 月 22 日上午 10 點 21 分左右發生。鏈上數據顯示,駭客當時先是向 Resolv 的智能合約存入 10 萬枚 USDC,卻得以換回高達 5,000 萬枚的 USR,較正常兌換比例足足多出 500 倍。隨後,駭客食髓知味,再度透過第二筆交易額外鑄造了 3,000 萬枚 USR 。
USR from @ResolvLabs is trading at one cent, someone minted 50m USR with $100k USDC pic.twitter.com/fXtjZgxzQk
— YAM 🌱 (@yieldsandmore) March 22, 2026
作為一款標榜與美元 1:1 掛鉤的穩定幣,USR 的運作邏輯並非依賴傳統的法定貨幣儲備,而是透過以太幣、比特幣建立「Delta 中性避險策略(Delta-neutral hedging,藉由多空部位對沖以消除價格波動風險)」來維持價值。 根據 DEX Screener 數據,駭客鑄造首批代幣後,USR 在流動性最深厚的 Curve Finance 資金池中,短短 17 分鐘內就暴跌至 0.025 美元,儘管隨後一度回升至 0.85 美元附近,但寫稿時仍未能恢復 1 美元錨定。 駭客洗錢手法俐落,官方稱「抵押池完好無損」惹議 得手後,駭客(錢包地址以 0x04A2 開頭)迅速在各大 DEX 將這些憑空鑄造的 USR 兌換成 USDC 、 USDT,然後又全數轉換為以太幣。鏈上數據顯示,駭客錢包內已囤積多達 11,409 枚以太幣(價值約 2,370 萬美元)。 事件曝光後,Resolv Labs 在社群平台 X 發表聲明指出,團隊已暫停所有協議功能,強調「抵押池完好無損」、沒有丟失任何底層資產,並將這次事故定調為「單純的 USR 發行機制漏洞」。
We are currently investigating a security incident involving unauthorized minting of USR.
At this stage:
The collateral pool remains fully intact. No underlying assets have been lost.
The issue appears isolated to USR issuance mechanics.
Our immediate priority is to:
1)…
— Resolv Labs (@ResolvLabs) March 22, 2026
**權限控管如同虛設 ** 儘管官方試圖淡化衝擊,資安專家們卻不買帳。鏈上數據分析師 Andrew Hong 指出,攻擊破口源於協議中負責處理兌換請求的特權帳戶「SERVICE_ROLE」。令人震驚的是,如此關鍵的權限,竟只由一個普通的外部帳戶(EOA,即單一個人錢包)掌控,而非更安全的多重簽名帳戶。更致命的是,鑄幣合約也缺乏預言機報價驗證、數量檢核,甚至連「鑄造上限」都並未設定。 DeFi 投資基金 D2 Finance 也列出了 3 種可能的肇因:預言機遭惡意操縱、鏈下簽章者遭入侵,又或是並未在鑄幣請求與執行之間加入金額驗證程序。率先曝光這起事故的 YieldsAndMore 也感嘆,以 Resolv 這樣具備一定資金規模的協議,核心管理權限竟缺乏最基本的安全護欄。 區塊鏈資安公司 Cyvers 執行長 Deddy Lavid 指出:「這正是穩定幣風險真正浮現的地方。光靠定期的合約審計是遠遠不夠的。如果沒有實時監控代幣鑄造與供應量,當危機來臨時,團隊就如同蒙上雙眼般無能為力。」 無妄之災!無形通膨洗劫散戶,骨牌效應衝擊借貸市場 儘管 Resolv 官方聲稱抵押池「完好無損」在技術上是事實,但這種說詞顯然低估了事件的殺傷力。鏈上分析師點出,這場攻擊並非直接「掏空」金庫,而是採取了更隱蔽的「供應通膨」手法。 8,000 萬枚憑空出現的新代幣,瞬間稀釋了原有的流通價值,而駭客倒貨砸盤更是直接抽乾了流動性資金池。這意味著,事發當下手握 USR 的投資人,資產價值都已在瞬間遭到無情洗劫。 這場風暴更迅速蔓延至其他 DeFi 借貸市場。由於 USR 及其衍生代幣被許多借貸平台(如 Morpho 、 Gauntlet)認可為抵押品,投機客見機不可失,紛紛在市場上低價買進 USR,再拿到借貸平台上,利用系統預設「1 USR = 1 美元」的僵化定價,大舉借出真金白銀的 USDC 。這波「空手套白狼」的操作,直接榨乾了借貸金庫的流動性。 曾獲千萬融資與 14 次頂級審計,如今跌落神壇 事實上,在遭遇駭客毒手之前,Resolv 協議的資金規模就已在持續萎縮。 USR 的市值從今年 2 月初的 4 億美元高點,一路滑落至事發前的 1 億美元左右。
相關文章
