Resolv Protocol遭黑客攻击：通过USR稳定币漏洞损失2500万美元

重点摘要

• 一名老练的攻击者利用 Resolv 的 USR 铸造机制漏洞,仅用 20 万美元的 USDC 初始存款就生成了约 8000 万枚无抵押代币
• 黑客成功提取了 11,409 枚 ETH,价值约 2500 万美元
• USR 的价值在 Curve Finance 上暴跌至 0.025 美元,随后部分回升至约 0.85 美元
• Resolv 已暂停所有协议操作;虽然团队声称抵押品池仍然安全,但由于供应量膨胀,USR 代币持有者蒙受了重大损失
• 包括 Morpho、Lido 和 Aave 在内的主要 DeFi 平台迅速响应,评估并减轻其风险敞口

周日,Resolv 的 USR 稳定币遭遇严重安全漏洞,攻击者利用铸造基础设施的漏洞生成了约 8000 万枚无抵押代币,最终从协议中抽走了价值约 2500 万美元的以太币。

恶意活动始于世界标准时间凌晨 2 时 21 分左右。攻击者通过向 Resolv 的 USR Counter 合约存入 10 万 USDC 来发起攻击,获得了惊人的 5000 万 USR 作为回报——约为合法数量的 500 倍。后续交易又产生了额外 3000 万枚代币。

在未经授权的铸造之后,攻击者系统性地通过各种去中心化交易所将欺诈性的 USR 兑换成 USDC 和 USDT,随后将收益整合为 ETH。攻击者的钱包目前包含 11,409 枚 ETH,按当前市值计算约为 2370 万美元。

USR 旨在维持 1 美元的价格挂钩,但在初始铸造交易后仅 17 分钟就在 Curve Finance 上灾难性地崩溃至 0.025 美元。虽然该代币部分反弹至约 0.85 美元,但截至周日上午仍严重脱钩。

尽管有这些保证,区块链分析师强调现有 USR 持有者遭受了重大损失。8000 万枚新铸造代币的大量涌入严重稀释了流通供应量,而攻击者的激进抛售耗尽了可用的流动性池。在事件期间持有 USR 的任何投资者都经历了即时的投资组合损失。

安全漏洞源于访问管理不足

区块链安全分析师 Andrew Hong 确定漏洞源头为指定为 SERVICE_ROLE 的特权账户。这个关键账户由单个外部拥有账户控制,而非更安全的多重签名钱包。铸造合约缺乏必要的保障措施,包括预言机验证、金额验证协议和最大铸造阈值。

曾于 2025 年 7 月审计 Resolv 质押模块的安全公司 Pashov 告知 Cointelegraph,根本问题似乎源于私钥泄露,而非协议架构设计的固有弱点。

Resolv 的官方网站记录了由五家不同安全公司进行的 14 次独立审计,在 Immunefi 托管的 50 万美元漏洞赏金计划,以及持续的智能合约监控系统。

DeFi 生态系统响应以遏制影响

众多 DeFi 平台在漏洞发生后实施了快速响应措施。Lido 确认存入 Lido Earn 的用户资金仍然安全。Aave 创始人 Stani Kulechov 表示该平台没有直接的 USR 风险敞口,并确认 Resolv 正在积极偿还未偿债务。Morpho 联合创始人 Merlin Egalite 澄清只有特定金库有 USR 风险敞口。

传染效应蔓延至借贷生态系统

USR 及其质押衍生品 wstUSR 被批准作为 Morpho 和 Gauntlet 等平台的抵押资产。市场分析师观察到,机会主义交易者可能以严重折扣价格购入 USR,并利用它以完整的 1 美元估值借入 USDC,从而有效地耗尽了受影响金库的流动性储备。

Resolv 的初级保险份额 RLP 也面临潜在的资本减值。Stream Finance 持有大量 1360 万 RLP 仓位,价值约 1700 万美元,可能会向其存款人群传递额外损失。Stream 此前披露在 2025 年 11 月损失 9300 万美元。

RESOLV 治理代币在安全漏洞发生后的 24 小时内下跌约 8.5%。

这次 Resolv 事件体现了更广泛的行业模式。根据 Immunefi 最近的报告,平均加密货币黑客攻击现在造成约 2500 万美元的损失,2024-2025 年期间五次最大的漏洞攻击占被盗资金总额的 62%。

文章《Resolv 协议遭黑客攻击:2500 万美元通过 USR 稳定币漏洞被盗》首次发表于 Blockonomi。