DeFi 生態系近期經歷了一次高級別的漏洞利用,持續顯示出各個 DeFi 協議中的鑄幣機制存在潛在的漏洞。2026年3月22日,安全監控平台 Lookonchain 通知社群有關 Resolv 的重大漏洞事件,Resolv 是一個合成資產管理協議。根據鏈上數據,一名黑客將少量的 200,000 USDC 轉換成大量資金,在短時間內從市場中提取了數百萬美元的流動性。
鑄幣漏洞的運作機制
一名攻擊者利用 Resolv 鑄幣合約中的漏洞開始入侵。通過存入 200,000 USDC,攻擊者能夠利用協議的內部帳務系統鑄造出高達 8,000 萬 USR 的代幣。這種大量的 USR 通貨膨脹沒有任何抵押支持,從無中生有地創造出幻影價值。
每個 USR 代幣的實體安全背書與實際存在的 USR 之間的不匹配,表明可能存在定價預言機的缺陷,或是協議中“鑄幣”功能的邏輯漏洞。隨後,攻擊者在獲得這些通過 8000 萬鑄幣產生的 USR 後,迅速將合成資產轉換為“硬”加密資產。這一切都在 USR 預期價格脫離掛鉤或協議尚未有機會停止交易之前完成。
贓物清算——2,380萬美元的轉換
速度在 DeFi 漏洞利用中至關重要;因此,攻擊者展現出迅速捕捉機會的強大能力。根據 Arkham Intelligence 的鏈上日誌,攻擊者立即將 4,478 萬 USR 轉移到不同的去中心化交易所(DEX)和聚合器。這些大量的合成代幣被轉換成約 11,437 ETH,當時價值約 2,380 萬美元。
攻擊者持有的剩餘 USR 可能是此事件中最令人擔憂的部分,因為目前仍有 3,514 萬 USR 被存放在攻擊者的錢包中。儘管由於最初的拋售,含 USR 的流動性池可能已經被大幅削減,但這些代幣仍然存在。未來若有資金再次注入系統,則可能帶來二次風險。
合成資產漏洞的日益嚴重趨勢
這次事件並非孤立事件,而是更大趨勢的一部分,即攻擊者現在開始針對合成資產協議的鑄幣與銷毀機制。合成資產依賴極為複雜的數學公式來維持其掛鉤,任何微小的程式漏洞都可能造成嚴重後果。
安全公司對日益互聯的 DeFi 協議風險表達了高度關注。隨著這些系統越來越緊密,單一漏洞就可能引發整個生態系的廣泛問題。
結論
Resolv 的漏洞事件顯示去中心化金融仍處於野蠻生長的階段。雖然向 Web3 轉型帶來了新的金融自由,但也對程式碼質量和投資者的謹慎程度提出了更高要求。在 Resolv 正在調查漏洞的源頭時,追回攻擊者錢包資金已成為次要任務。主要目標是促使整個 DeFi 社群持續改進安全協議,以防止類似規模的資金損失。攻擊者目前持有約 2,300 萬美元的 ETH,Resolv 社群仍在承受此次事件的負面影響。
