攻击事件揭示稳定币铸造机制深层缺陷

在2026年3月22日UTC时间凌晨2时38分,Resolv Labs的USR稳定币协议遭遇针对其铸造机制的恶意攻击。攻击者通过存入约10万至20万美元的USDC,利用协议漏洞生成近5000万枚无抵押支持的USR代币。随后另有一笔独立交易额外铸造3000万枚,累计铸造量达8000万枚以上。该行为直接导致协议暂停前价格暴跌97.5%,市值从峰值迅速缩水。

攻击路径与资金流向清晰可见

从铸造开始到价格触底仅用时17分钟。攻击者将大量伪造的USR兑换为USDC和USDT,并集中转换为ETH,最终购入11,422枚ETH,总价值约2366万美元。这一快速套现行为表明攻击具备高度计划性与技术协同能力。

流动性池遭受严重滑点冲击

在主要交易场所Curve Finance上,USR价格一度跌至0.025美元,日内交易量达到约360万美元。由于脱锚幅度高达97.5%,资金池产生剧烈滑点,严重影响流动性提供者的收益与本金安全。截至发稿,交易价格回升至约0.48美元,仍较1美元锚定价低52%,24小时交易量飙升至5070万美元,反映出市场情绪持续波动。

协议方强调抵押资产完好无损

Resolv Labs发布声明称,尽管遭遇攻击,其协议所依赖的抵押资产池并未被消耗或挪用。“底层资产目前未发生损失。”团队已全面暂停所有协议功能以防止进一步风险扩散,并正在制定恢复方案。然而,攻击所生成的代币不具备任何抵押支撑,合法用户存入的资产仍保留在系统内,形成“协议资产无损”与“用户实际亏损”之间的显著落差。

漏洞根源指向链下控制权失控

安全研究指出,此次攻击的根本原因在于铸造流程中缺乏链上数量限制。虽然智能合约设定了最低限额,但未设置上限,使得链下特权密钥可无限授权铸造。该密钥决定特定存款可生成的USR数量,而整个过程未在链上进行验证或约束。有分析认为,此机制“是按设计正常工作的功能”,暗示其本质为架构缺陷而非临时漏洞。 当前尚不清楚密钥是否被攻破,或是否存在逻辑绕过手段。Resolv尚未公布正式事后报告,独立审计机构也未出具归因结论。此类将核心控制权置于链下却无对应链上执行机制的设计模式,正引发对混合型协议安全体系的广泛质疑。

生态响应体现风险管理升级

其他协议创始人迅速发声,明确表示自身协议未受波及。“我们的协议对Resolv USR无风险敞口。Resolv仅作为流动性提供者,其抵押资产已存入协议且保持安全。”并确认其正通过正常渠道有序退出集成关系,而非被迫清算。 这种主动划清界限、快速披露风险敞口的做法,相较于以往事件中被动传导风险的应对方式,显示出生态内部实时风险识别与协同防御能力的提升。但对已遭受脱锚损失的持有者而言,这些举措无法弥补实际财务损失。

USR后续前景仍不明朗

目前USR市值约为8650万美元,过去24小时下跌51.95%。市场恐慌与贪婪指数降至10,反映加密市场处于极度悲观状态。尽管Resolv表示正在积极调查,但仍未公布合作审计方、重启时间表或补偿方案。 关键问题包括:流动性提供者能否获得赔偿?恢复铸造前将采取何种架构变更?在未解决链下密钥授权机制的根本缺陷前,USR重返1美元锚定目标的可能性依然渺茫。协议方“资产无损”的技术陈述虽成立,但在用户体验层面显得空洞无力,凸显出安全设计与用户保护之间亟待弥合的鸿沟。