特权铸造权限失控引发大规模代币滥铸

3月22日周日凌晨,某去中心化协议因计数器合约漏洞遭遇攻击,导致8000万枚无担保USR代币被非法生成。攻击者通过单一外部账户操控的特权铸造权限,在未设上限、无验证机制且缺乏多签保护的情况下,先后完成两笔交易:首笔存入约20万美元USDC获取5000万枚USR,第二笔额外铸造3000万枚。这些新铸代币迅速在去中心化交易所兑换为稳定币,并最终转化为11,409枚ETH。该行为并非市场操纵或流动性攻击,而是由铸造控制机制失效直接引发的系统性风险事件。

协议提出双轨应对:和解激励与白帽披露并行

相关实验室向攻击者发出72小时最后通牒,提出和解方案:若在期限内归还90%资金,可保留剩余10%作为报酬。资金回收地址已公开,要求转移约2250万美元等值以太坊及剩余USR代币。该提案同时提供白帽披露路径——攻击者可通过直接沟通提交漏洞信息,以换取免责处理。此双轨策略体现去中心化金融领域常见应对逻辑:在推动资金返还的同时,避免法律程序升级,保留协商空间。协议声明若未获配合,将联动中心化交易所、跨链桥及基础设施提供商,开展链上追踪、资产限制或冻结,并与区块链分析公司及执法部门协作,视情况启动法律行动。

白名单用户赎回机制启动,稳定早期持有者信心

为降低事件冲击,协议方已开始为漏洞发生前持有USR的白名单用户启动赎回程序。相关实验室正与这些用户直接沟通,并将陆续公布后续更新方案。通过区分事件前后持有者的处理方式,协议试图明确损失边界,防止无担保代币进一步侵蚀二级市场信心。由于无担保代币供给不再对应真实抵押资产,其流通可能扰乱定价机制、赎回逻辑与用户信任体系。因此,控制后续影响的关键在于资金追回效率、受损资产的限制能力,以及对受影响用户的清晰赎回路径设计。

漏洞根源揭示去中心化稳定币核心风险

此次事件暴露出去中心化稳定币系统长期存在的结构性缺陷:对高度集中的特权合约角色缺乏有效约束。当铸造权限由单一账户掌控且未设置上限或验证流程时,一次配置错误或接口漏洞即可在数分钟内触发大规模供给扩张,形成不可逆的系统性威胁。不同于依赖价格波动或流动性枯竭的攻击方式,此类攻击直接破坏资产锚定基础,恢复过程更为复杂。即便部分资金被追回,无担保代币的存在仍可能持续干扰市场秩序。协议所采取的经济激励与链下协同威慑相结合的应对模式,其成效取决于攻击者配合意愿,以及跨平台资产管控的实际执行力。