Resolv的USR稳定币在攻击者铸造了8000万个无担保代币后被剔除，提取了约2500万美元

据多家区块链安全公司称，一名攻击者周日利用了Resolv的USR稳定币铸造合约中的漏洞，创建了约8000万个无支持代币，并提取了约2500万美元。

攻击于协调世界时凌晨2：21左右开始。X账户YieldsAndMore率先指出此事件，发布了Etherscan交易数据，显示攻击者向Resolv的USR反对合约存入了10万USDC，并获得了5000万USR，约为预期金额的500倍。第二次交易又铸造了3000万苏格兰卢比。

USR是一种与美元挂钩的稳定币，采用以ETH和BTC为支撑的中性对冲策略，而非法币储备。根据DEX Screener的数据，该代币在首次铸币后17分钟内，其流动性最高的Curve Finance池价格跌至0.025美元。随后回升至约0.85美元，但截至周日上午尚未恢复。

攻击者从以0x04A2开头的地址操作，将铸造的USR兑换成USDC和USDT，然后将收益转换为ETH。根据区块链数据，攻击者的钱包地址持有11,409个ETH，价值约2370万美元。另一个被确认属于攻击者的钱包地址持有约110万美元的wstUSR代币。

Resolv Labs在关于X的声明中表示，已暂停所有协议功能，其抵押品池“保持完整”，“没有任何基础资产”丢失。团队称问题“仅限于USR的发行机制”。

分析人士指出访问控制较弱

链上分析师Andrew Hong将此次泄露归因于协议的SERVICE_ROLE，这是一个专门完成掉期请求的特权账户。该角色由标准外部拥有账户（EOA）控制，而非多重签名。铸币合同缺少预言检查、金额验证和最大铸币上限。

DeFi基金D2 Finance提出了三种可能的解释：oracle控了，链下签名者被攻破，或者在Mint请求与完成之间的金额验证根本不存在。YieldsAndMore 也呼应了这一分析，并指出行政角色缺乏像 Resolv 这样规模协议应有的防护措施。

“这正是稳定币风险真正变得真实的地方，”链上安全公司Cyvers的首席执行官Deddy Lavid告诉The Block。“仅靠审计是不够的，如果你不实时监控铸币和供应，关键时刻你就是盲目。”

"这与针对安全团队盲点的攻击趋势相呼应——敏感的密钥和凭证，这些不直接持有资金，但可以用来访问资金，“密钥管理公司Sodot的首席执行官Ido Sofer告诉The Block。

USR持有者面临巨大损失

尽管Resolv声称其抵押品池“完全完好无损”在技术上是准确的，但该断言低估了损害。正如链上分析师指出的，此次攻击表现为供应膨胀，而非直接盗窃支持资产。这8000万枚新代币稀释了现有的供应，而攻击者的卖出则摧毁了池的流动性。当时持有USR的人会立即面临损失。

Depeg也逐步进入DeFi借贷市场。USR及其质押衍生工具wstUSR被接受为抵押品，在包括Momorpho和Gauntlet在内的平台上。机会主义交易者可能以USR的折价买入，并以硬编码的1美元估值借入USDC，从而从这些金库中抽走稳定币的流动性。D2 Finance 指出 Gauntlet 策划的 Morpho 保险库也受影响。

损害可能波及Resolv的次级批次。YieldsAndMore指出，Resolv流动性池（RLP）作为承保层，承担保护USR持有人的损失，在开采前价格通约3860万美元。最大的RLP持有者是Stream Finance，该收益率协议在2025年11月披露了9300万美元亏损，原因是外部基金经理挪用了资产。

Stream持有1360万RLP的Morfo持仓，约1700万美元净敞口，这意味着其存款人可能面临又一次重大亏损，数据来自YieldsAndMore。

该漏洞攻击了一个已经在贬值的协议。根据CoinMarketCap的数据，USR的市值从2月初的约4亿美元降至袭击前的约1亿美元。RESOLV治理代币在过去24小时内价格下跌约8.5%，自此次利用事件起因。

总部位于阿布扎比的Resolv于2025年4月筹集了一轮1000万美元的种子轮融资，由Cyber.Fund和Maven11领衔，Coinbase Ventures、Arrington Capital和Animoca Ventures参与。该系统由Delphi Labs孵化，提供资金利率套利和双层次系统，该系统将USR与风险承担保险层RLP结合。

Resolv的网站宣传了五家公司提供的14项审计项目，50万美元的Immunefi漏洞奖励，以及持续的智能合约监控。Resolv未立即回应The Block的置评请求。

漏洞利用为2026年DeFi黑客事件的增长增添了新一笔

Resolv事件是2026年初一系列加密攻击中的最新一起。今年一月，Truebit因攻击者针对五年前部署的智能合约中的一个漏洞，损失了2660万美元。同月，Makina Finance 在一个稳定币池中损失了约 500 万美元，原因是一名攻击者利用闪电贷款操纵了协议的预言机。Immunefi上周发布的一份报告发现，目前平均加密货币黑客事件的成本约为2500万美元，2024-2025年度的五大漏洞占所有被盗资金的62%。

这一时机从政策角度也值得关注，因为美国立法者正积极讨论如何根据《天才法案》监管收益率稳定币。美国银行家协会警告称，这类产品可能会吸引传统银行的存款，关键参议员们于周五就稳定币收益率处理达成了“原则性协议”。