穩定幣 USR 閃崩脫鉤！Resolv 爆「鑄幣漏洞」遭駭客捲走 2,500 萬美元

綜合多家鏈上資安機構報告，DeFi 協議 Resolv 周日遭受漏洞攻擊，駭客以極低成本鑄造 8,000 萬枚未經抵押的穩定幣 USR，迅速拋售後成功套現約 2,500 萬美元，不僅引發 USR 幣價嚴重脫鉤，更在借貸市場掀起骨牌效應。 這起攻擊在 3 月 22 日上午 10 點 21 分左右發生。鏈上數據顯示，駭客當時先是向 Resolv 的智能合約存入 10 萬枚 USDC，卻得以換回高達 5,000 萬枚的 USR，較正常兌換比例足足多出 500 倍。隨後，駭客食髓知味，再度透過第二筆交易額外鑄造了 3,000 萬枚 USR 。

USR from @ResolvLabs is trading at one cent, someone minted 50m USR with $100k USDChttps://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk

— YAM 🌱 (@yieldsandmore) March 22, 2026

作為一款標榜與美元 1:1 掛鉤的穩定幣，USR 的運作邏輯並非依賴傳統的法定貨幣儲備，而是透過以太幣、比特幣建立「Delta 中性避險策略（Delta-neutral hedging，藉由多空部位對沖以消除價格波動風險）」來維持價值。 根據 DEX Screener 數據，駭客鑄造首批代幣後，USR 在流動性最深厚的 Curve Finance 資金池中，短短 17 分鐘內就暴跌至 0.025 美元，儘管隨後一度回升至 0.85 美元附近，但寫稿時仍未能恢復 1 美元錨定。 駭客洗錢手法俐落，官方稱「抵押池完好無損」惹議 得手後，駭客（錢包地址以 0x04A2 開頭）迅速在各大 DEX  將這些憑空鑄造的 USR 兌換成 USDC 、 USDT，然後又全數轉換為以太幣。鏈上數據顯示，駭客錢包內已囤積多達 11,409 枚以太幣（價值約 2,370 萬美元）。 事件曝光後，Resolv Labs 在社群平台 X 發表聲明指出，團隊已暫停所有協議功能，強調「抵押池完好無損」、沒有丟失任何底層資產，並將這次事故定調為「單純的 USR 發行機制漏洞」。

We are currently investigating a security incident involving unauthorized minting of USR.

At this stage:

The collateral pool remains fully intact. No underlying assets have been lost.

The issue appears isolated to USR issuance mechanics.

Our immediate priority is to:

1)…

— Resolv Labs (@ResolvLabs) March 22, 2026

**權限控管如同虛設 ** 儘管官方試圖淡化衝擊，資安專家們卻不買帳。鏈上數據分析師 Andrew Hong 指出，攻擊破口源於協議中負責處理兌換請求的特權帳戶「SERVICE_ROLE」。令人震驚的是，如此關鍵的權限，竟只由一個普通的外部帳戶（EOA，即單一個人錢包）掌控，而非更安全的多重簽名帳戶。更致命的是，鑄幣合約也缺乏預言機報價驗證、數量檢核，甚至連「鑄造上限」都並未設定。 DeFi 投資基金 D2 Finance 也列出了 3 種可能的肇因：預言機遭惡意操縱、鏈下簽章者遭入侵，又或是並未在鑄幣請求與執行之間加入金額驗證程序。率先曝光這起事故的 YieldsAndMore 也感嘆，以 Resolv 這樣具備一定資金規模的協議，核心管理權限竟缺乏最基本的安全護欄。 區塊鏈資安公司 Cyvers 執行長 Deddy Lavid 指出：「這正是穩定幣風險真正浮現的地方。光靠定期的合約審計是遠遠不夠的。如果沒有實時監控代幣鑄造與供應量，當危機來臨時，團隊就如同蒙上雙眼般無能為力。」 無妄之災！無形通膨洗劫散戶，骨牌效應衝擊借貸市場 儘管 Resolv 官方聲稱抵押池「完好無損」在技術上是事實，但這種說詞顯然低估了事件的殺傷力。鏈上分析師點出，這場攻擊並非直接「掏空」金庫，而是採取了更隱蔽的「供應通膨」手法。 8,000 萬枚憑空出現的新代幣，瞬間稀釋了原有的流通價值，而駭客倒貨砸盤更是直接抽乾了流動性資金池。這意味著，事發當下手握 USR 的投資人，資產價值都已在瞬間遭到無情洗劫。 這場風暴更迅速蔓延至其他 DeFi 借貸市場。由於 USR 及其衍生代幣被許多借貸平台（如 Morpho 、 Gauntlet）認可為抵押品，投機客見機不可失，紛紛在市場上低價買進 USR，再拿到借貸平台上，利用系統預設「1 USR = 1 美元」的僵化定價，大舉借出真金白銀的 USDC 。這波「空手套白狼」的操作，直接榨乾了借貸金庫的流動性。 曾獲千萬融資與 14 次頂級審計，如今跌落神壇 事實上，在遭遇駭客毒手之前，Resolv 協議的資金規模就已在持續萎縮。 USR 的市值從今年 2 月初的 4 億美元高點，一路滑落至事發前的 1 億美元左右。