Resolv Labs协议紧急暂停:密钥漏洞致8000万稳定币无抵押发行

Resolv Labs于3月22日宣布全面暂停所有协议操作。此前,攻击者利用被盗的AWS KMS私钥(标识为SERVICE_ROLE)授权两笔交易,分别铸造5000万和3000万枚无抵押的USR稳定币,总价值约2500万美元。尽管攻击前该代币始终维持1美元锚定,但事件发生后几分钟内价格迅速崩盘至0.025美元,截至本周一仍处于0.27美元水平,严重偏离其设计目标。

攻击路径揭示关键权限缺陷

攻击者仅投入10万至20万美元的USDC,却获得8000万枚USR,兑换比例高达预期的500倍。这一异常收益源于智能合约未设置铸造上限,仅保留最低输出限制,使得持有特权密钥者可无限量生成代币。该密钥属于单一外部持有账户,并非多重签名机制,使控制权集中于一点,成为攻击突破口。

从铸造到套现:完整黑客操作链条

完成铸造后,攻击者将所得USR转换为wstUSR(质押封装形式),并通过去中心化交易所流动性池快速兑换为ETH。在Curve Finance最高流动性池中,该代币价格在17分钟内暴跌至0.025美元,彻底击穿价格锚定机制。目前攻击者持有约11,409枚ETH(价值约2370万美元)及110万美元的封装USR,资金已分散至多个流动性协议,增加追踪难度。

单点故障暴露协议设计短板

区块链分析公司Chainalysis指出,此次事件的根本原因在于链外特权密钥的管理失效。智能合约仅验证签名有效性,缺乏对铸造数量的合理性审查,形成“有锁无限”的安全盲区。此类漏洞并非个例,密钥管理公司Sodot创始人表示:“具备特定操作权限的密钥常被忽视,极易成为内外部威胁的目标。” 相较之下,部分竞争协议如Ethena采用多方托管与交易所级抵押管理,有效规避了单一密钥风险。而Resolv的关键功能仅依赖单一外部账户,设计差异显著拉大了安全差距。

项目方应对措施与偿付能力疑虑

Resolv已于3月23日起为事件前的USR持有者开放赎回通道,并销毁900万美元的无抵押代币以缓解供给压力。团队提出白帽协商方案:若攻击者在72小时内归还90%被盗资金,可保留10%作为赏金。目前正与执法部门及链上分析机构合作追查身份,但尚未知是否接受。 尽管项目方声称“抵押资产池保持完好”,但资产负债表显示资产为9500万美元,负债高达1.73亿美元,存在明显缺口。协议总锁仓价值自2025年2月峰值6.84亿美元已大幅下滑至攻击前的约9500万美元,市场信心受挫。

市场反应与后续影响

事件引发广泛行业关注,韩国交易所Upbit已将RESOLV列为交易预警资产并暂停充值服务。稳定币领域正重新审视其原生锚定机制的安全假设,尤其是基于单一权限控制的协议架构是否可持续。当前协议已全面暂停运营,恢复时间表尚未公布。

用户须知:关注官方渠道动态

对于受影响的USR持有者,未来前景取决于团队能否弥补偿付缺口以及追回部分资金。建议用户通过官方公告渠道获取赎回方案最新进展,避免参与未经验证的第三方操作。