ステーブルコイン USR がフラッシュクラッシュで脱ペッグ！Resolv が「鋳造欠陥」で爆発、ハッカーが2,500万ドルを巻き上げる

複数のオンチェーンセキュリティ機関の報告によると、DeFiプロトコルResolvは日曜日に脆弱性攻撃を受け、ハッカーは非常に低コストで8千万枚の未担保の安定コインUSRを鋳造し、迅速に売却して約2,500万ドルを現金化した。これによりUSRの価格は大きく乖離し、借入市場にも連鎖的な影響を引き起こした。 この攻撃は3月22日午前10時21分頃に発生した。オンチェーンのデータによると、ハッカーは当時、Resolvのスマートコントラクトに10万USDCを預け入れたが、これにより5千万USRを交換できた。これは通常の交換比率の500倍以上に相当する。続いて、ハッカーはさらにもう一度、別の取引で3千万USRを追加で鋳造した。 ResolvLabsのUSRは1セントで取引されており、誰かが10万USDCで5千万USRを鋳造したhttps://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk — YAM 🌱 (@yieldsandmore) 2026年3月22日 USDと1:1で連動すると謳う安定コインUSRの運用ロジックは、従来の法定通貨準備金に依存するのではなく、イーサリアムやビットコインを用いて「デルタニュートラルヘッジ戦略（Delta-neutral hedging、ポジションの多空を対沖して価格変動リスクを排除）」を構築し、その価値を維持している。 DEX Screenerのデータによると、ハッカーが最初のトークンを鋳造した後、USRは流動性の最も厚いCurve Financeのプールでわずか17分で0.025ドルまで暴落した。後に一時的に0.85ドル付近に回復したものの、執筆時点では依然として1ドルのペッグに回復していない。 ハッカーのマネーロンダリング手法は巧妙で、公式は「担保プールは無傷」と主張し議論を呼ぶ 資金を得た後、ハッカー（ウォレットアドレスは0x04A2で始まる）は、主要なDEXでこれらの空鋳造されたUSRをUSDCやUSDTに交換し、その後すべてをイーサリアムに変換した。オンチェーンのデータによると、ハッカーのウォレットにはすでに11,409枚のイーサ（約2,370万ドル相当）が蓄積されている。 事件が明るみに出た後、Resolv LabsはSNSプラットフォームXに声明を出し、「すべてのプロトコル機能を一時停止した」「担保プールは無傷であり、基礎資産の喪失はない」と強調し、今回の事故を「単なるUSR発行メカニズムの脆弱性」と位置付けた。

現在、未承認のUSR鋳造に関するセキュリティインシデントを調査中です。

現段階では：

担保プールは完全に維持されており、基礎資産の喪失はありません。

問題はUSRの発行メカニズムに限定されているようです。

私たちの最優先事項は次の通りです：

1)…

— Resolv Labs (@ResolvLabs) 2026年3月22日 権限管理はまるで無意味 公式は衝撃を和らげようと試みているが、セキュリティ専門家たちはそうは見ていない。オンチェーンのデータ分析者Andrew Hongは、攻撃の突破口は、交換リクエストを処理する特権アカウント「SERVICE_ROLE」に由来すると指摘している。驚くべきことに、この重要な権限は、より安全とされるマルチシグアカウントではなく、単なる外部アカウント（EOA、個人のウォレット）一つだけが管理していた。さらに致命的なのは、鋳造コントラクトには価格を検証するオラクルや数量の検査もなく、「鋳造上限」すら設定されていなかったことだ。 DeFi投資ファンドのD2 Financeも、3つの可能性を挙げている：オラクルの悪意ある操作、オフチェーン署名者の侵害、または鋳造リクエストと実行の間に金額検証を行わなかったことだ。最初にこの事故を暴露したYieldsAndMoreも、Resolvのような資金規模のあるプロトコルにおいて、コア管理権限に最も基本的なセキュリティ対策さえ欠如していることに嘆いている。 ブロックチェーンセキュリティ企業CyversのCEO、Deddy Lavidは次のように述べている。「これこそが安定コインのリスクが本当に顕在化する場所だ。定期的なコントラクト監査だけでは不十分だ。トークンの鋳造と供給量をリアルタイムで監視しなければ、危機が訪れたときにチームはまるで目隠しをされたかのように無力だ。」 予期せぬ災難！見えざるインフレが個人投資家を襲い、連鎖反応が借入市場に波及 Resolv公式は担保プールは「無傷」と主張しているが、その言葉は事件の深刻さを過小評価している。オンチェーン分析者は、この攻撃は直接的に「金庫の掏り出し」ではなく、より隠密な「供給インフレ」手法を採用したと指摘する。8千万枚の新たなトークンが突如出現し、流通していた価値を瞬時に希釈した上、ハッカーは売り浴びせて流動性プールを直接絞り取った。これにより、事件当時USRを保有していた投資家の資産価値は瞬時に奪われたも同然となった。 この嵐は他のDeFi借入市場にも急速に拡大した。USRとその派生トークンは、多くの借入プラットフォーム（例：Morpho、Gauntlet）で担保として認められていたため、投機家たちはチャンスと見て、市場で低価格でUSRを買い集め、借入プラットフォームに持ち込み、「1 USR＝1ドル」の硬直した価格設定を利用して大量にUSDCを借り出した。この「素手で狼を捕らえる」操作は、借入金庫の流動性を根こそぎ奪った。 数千万の資金調達と14回のトップクラス監査を経て、今や崩壊の危機 実は、ハッカーの攻撃を受ける前から、Resolvの資金規模はすでに縮小傾向にあった。USRの時価総額は今年2月初めの4億ドルのピークから、事件前の約1億ドルまで下落していた。