攻击者利用铸造漏洞非法获取巨额资产

周日,Resolv协议的稳定币USR遭遇重大安全事件,一名攻击者通过利用其铸币机制中的权限缺陷,仅以20万美元初始存款为起点,成功生成约8000万枚无资产背书的代币。该行为在短时间内完成,随后攻击者将部分代币兑换为USDC和USDT,并最终整合为11,409枚ETH,价值约2370万美元。 此次恶意活动始于世界标准时间凌晨2:21,攻击者向USR Counter合约注入10万枚USDC,却获得5000万枚USR,数量约为正常值的500倍。后续交易再生成3000万枚代币,迅速造成供应量失控。

代币价格暴跌引发市场动荡

USR原设计目标为锚定1美元,但在首次异常铸造后17分钟内,其在Curve Finance上的价格一度跌至0.025美元,出现灾难性贬值。尽管随后部分回升至约0.85美元,但价格仍远低于锚定值,对持有者构成显著损失。 Resolv Labs在社交平台宣布已暂停所有协议操作,强调抵押资金池“保持完全完好”,未发生底层资产损失。团队将漏洞归因于“仅限于USR发行机制”,而非整体协议架构问题。

安全漏洞根源:权限控制缺失

区块链安全分析师Andrew Hong指出,漏洞核心在于一个名为SERVICE_ROLE的特权账户,由单一外部账户控制,未采用多重签名机制。该铸造合约缺乏关键防护措施,如预言机验证、数量校验及最大铸造上限,导致权限滥用成为可能。 曾于2025年7月审计过Resolv质押模块的Pashov公司表示,根本原因疑似私钥泄露,而非协议设计缺陷。Cyvers首席执行官Deddy Lavid强调:“仅有审计是不够的,若无法实时监控铸造与供应变化,在关键时刻你将如同盲人。” 尽管Resolv官网列明了由五家安全公司完成的14项独立审计、Immunefi上50万美元的漏洞赏金计划以及持续的智能合约监控系统,但实际防御仍存在明显盲区。

去中心化金融生态快速响应

事件爆发后,Lido确认其用户资金安全,未受直接波及。Aave创始人Stani Kulechov声明平台未持有直接敞口,且Resolv正在积极偿还债务。Morpho联合创始人Merlin Egalite澄清,仅有特定金库涉及USR头寸,风险可控。 各平台迅速评估自身风险敞口,防止潜在传导效应扩大,体现行业在危机应对中的协同机制。

传染效应蔓延至借贷与保险体系

USR及其质押衍生品wstUSR被多个平台批准为抵押资产,包括Morpho与Gauntlet。市场观察显示,机会主义交易者可能以大幅折价买入受损代币,再以其1美元估值作为抵押借入USDC,从而消耗受影响金库的流动性储备。 此外,Resolv的次级保险份额RLP面临资本减损风险。持有约1360万枚RLP的Stream Finance可能将损失进一步传导至其储户。该公司此前已在2025年11月披露过9300万美元的亏损记录。 事件发生24小时内,RESOLV治理代币下跌约8.5%,反映投资者信心受挫。 此次事件反映出加密行业普遍存在的治理与监控短板。据Immunefi最新报告,当前平均单次攻击损失达2500万美元,而2024至2025年间五起最大规模攻击占总被盗金额的62%。