Resolv USR 穩定幣在攻擊者利用合約漏洞鑄造 8000 萬枚無擔保代幣後脫錨

一名攻擊者於2026年3月22日利用Resolv的USR穩定幣鑄造合約中的漏洞，創造了約8000萬未背書的代幣，並用約20萬美元的USDC提取了估計2500萬美元的資金，導致USR在Curve上的價格崩跌至0.025美元，之後部分回升至約0.85美元。

此次漏洞源於由單一外部擁有帳戶（EOA）控制的特權鑄幣角色，該角色沒有鑄幣限制或預言機驗證，使攻擊者能在一次交易中鑄造5000萬USR，在另一交易中再鑄造3000萬USR。Resolv Labs在事件發生後暫停了所有協議功能，並聲稱其抵押池“仍然完好無損”，未損失“任何底層資產”，但現有USR持有人因供應稀釋而面臨即時損失。

攻擊者將鑄造的穩定幣兌換成約11,409 ETH（價值約2370萬美元），並持有額外價值110萬美元的包裝USR代幣。

攻擊機制與技術漏洞

漏洞時間線

攻擊始於UTC時間2026年3月22日凌晨2:21左右，首次交易顯示攻擊者向Resolv的USR反向合約存入10萬USDC，並獲得了5,000萬USR——約為預期數量的500倍。第二次交易則鑄造了額外的3000萬USR。在首次鑄造後的17分鐘內，USR在Curve Finance最具流動性的池中價格跌至0.025美元。

根本原因：弱控制權

鏈上分析師Andrew Hong將此次漏洞歸因於協議的SERVICE_ROLE，一個具有特權的帳戶，負責完成交換請求。主要漏洞包括：

單一EOA控制：SERVICE_ROLE由一個標準的外部擁有帳戶控制，而非多簽錢包

無鑄幣限制：鑄幣合約缺乏最大鑄幣限制

無預言機驗證：未實施預言機檢查以驗證價格或抵押品支持

缺少數量驗證：未對鑄幣請求與完成之間的數量進行驗證

DeFi基金D2 Finance提出三種可能的解釋：預言機操縱、鏈下簽名者被攻破，或鑄幣請求與完成之間缺少數量驗證。

安全事後分析背景

Resolv的網站宣稱已進行五家機構的14次審計，並獲得50萬美元的Immunefi漏洞賞金，且持續監控智能合約。儘管如此，專家指出，該協議仍存在“盲點”——敏感密鑰和憑證並不直接持有資金，但卻能用來存取資金。

關鍵管理公司Sodot的CEO Ido Sofer表示：“這與一個日益增長的攻擊趨勢相關，即攻擊集中在安全團隊的盲點——敏感密鑰和憑證，這些並不直接持有資金，但可以用來存取資金。”

市場影響與用戶損失

USR價格崩跌與回升

USR是一種美元掛鉤的穩定幣，採用由ETH和BTC支持的Delta-Neutral對沖策略，而非法幣儲備。首次鑄造後17分鐘內，USR在Curve上的價格跌至0.025美元。之後該幣回升至約0.85美元，但尚未恢復其錨定。

流動性與抵押品損失

此次攻擊創造了8000萬新代幣，稀釋了現有供應。攻擊者將鑄造的USR出售換取USDC、USDT，最終轉換成ETH，徹底破壞了池子的流動性。持有USR的用戶在攻擊時面臨即時損失。

這次的脫鉤事件也波及DeFi借貸市場。USR及其質押的衍生品wstUSR被包括Morpho和Gauntlet在內的平台接受為抵押品。有投機交易者在市場折價時購買USR，並以硬編碼的1美元估值借出USDC，從而抽乾受影響金庫的穩定幣流動性。

RLP保險層暴露

損失可能擴展至Resolv的次級層——Resolv流動性池（RLP），該層作為一層保險，吸收損失以保護USR持有人。YieldsAndMore指出，RLP在事發前約有3860萬美元的流通量。最大RLP持有者是Stream Finance，該收益協議在2025年11月披露因外部基金經理挪用資產而損失9300萬美元。Stream在Morpho上持有約1360萬RLP，代表約1700萬美元的淨暴露，意味著其存款人可能面臨另一筆重大損失。

協議背景與行業背景

Resolv概述

總部位於阿布扎比的Resolv在2025年4月完成了1000萬美元的種子輪融資，由Cyber.Fund和Maven11領投，Coinbase Ventures、Arrington Capital和Animoca Ventures參與。該協議由Delphi Labs孵化，提供收益策略，通過資金利率套利和雙層結構，將USR與承擔風險的RLP保險層配對。

在攻擊前，USR的市值已從2026年2月初的約4億美元下降到約1億美元。RESOLV治理代幣在事件後下跌約8.5%。

2026年DeFi漏洞趨勢

Resolv事件是2026年初一系列加密貨幣漏洞中的一部分：

2026年1月：Truebit因五年前部署的智能合約漏洞遭攻擊，損失2660萬美元

2026年1月：Makina Finance因閃電貸預言機操縱攻擊，損失約500萬美元

上週發布的Immunefi報告指出，平均加密貨幣黑客事件成本約為2500萬美元，2024-2025年五大漏洞佔所有被盜資金的62%。

監管背景

此次漏洞的時間點與美國關於收益型穩定幣監管的GENIUS法案激烈辯論同步。美國銀行家協會警告稱，此類產品可能吸引存款從傳統銀行流失。2026年3月20日，關鍵參議員就穩定幣收益處理達成“原則性協議”。