Resolv 駭客事件加深 DeFi 連鎖反應，關鍵穩定幣風險浮現

Resolv的USR穩定幣漏洞引發的駭客事件，在多個相互連結的DeFi平台上造成了嚴重的市場擾動。

USR穩定幣漏洞的展開過程

星期日，一名高級攻擊者針對Resolv的USR發行基礎設施，生成了約8000萬未背書的代幣，最終從該協議中提取了約2500萬美元的以太幣（ETH）。這次攻擊凸顯了穩定幣鑄造邏輯中的單一弱點如何引發更廣泛的市場危機。

惡意活動於UTC時間凌晨2:21左右開始，攻擊者向Resolv的USR反向合約存入10萬USDC。作為回報，攻擊者獲得了異常的5000萬USR——約為合法數量的500倍。隨後的一筆交易又產生了3000萬代幣。這些行為共同膨脹了USR的供應量，卻沒有相應的抵押品。

在未經授權的鑄幣之後，攻擊者系統性地將偽造的USR兌換成USDC和USDT，並在多個去中心化交易所進行交易。此外，攻擊者將所得資金集中成ETH。根據鏈上數據，攻擊者的錢包目前持有11,409 ETH，按當前市場價格估值約為2370萬美元。

Curve的嚴重脫鉤與USR持有者的重大損失

旨在維持1美元價格掛鉤的USR，幾乎立即崩潰。在首次異常鑄幣後的17分鐘內，該代幣在Curve Finance上的價格跌至0.025美元。然而，價格很快出現部分回升，反彈至約0.85美元，但在星期日早晨仍然深度脫鉤。

Resolv Labs在X（前Twitter）上宣布已暫停所有協議運作。團隊強調抵押池“仍然完好無損”，並堅稱“沒有任何底層資產”受到影響，將此事件定義為“僅限於USR鑄幣機制的問題”。然而，市場反應顯示用戶並未完全放心。

區塊鏈分析師迅速指出，現有USR持有者承擔了主要損失。突然湧入的8000萬新代幣大幅稀釋了流通供應。此外，攻擊者的激進拋售也抽乾了可用池的流動性。在事件期間持有USR的投資者面臨即時且重大資產損失。

協議特權帳戶被攻破與鑄幣安全措施

安全研究人員很快追蹤到此次漏洞源於關鍵存取控制。區塊鏈安全分析師Andrew Hong指出，漏洞源於一個被授予SERVICE_ROLE的特權帳戶。這個高度敏感的角色據稱由一個外部擁有的帳戶管理，而非更安全的多簽錢包結構。

USR鑄幣合約據報缺乏關鍵保護措施，如強大的預言機驗證、適當的數量驗證和最大鑄幣閾值。然而，這一設計弱點可能與更深層次的操作失誤相互作用：特權憑證的暴露。這次事件凸顯了治理角色如果未經適當加固，可能成為單點故障。

安全公司Pashov曾在2025年7月審計Resolv的質押模組，並向Cointelegraph表示，根本原因似乎是私鑰被攻破，而非核心架構設計上的缺陷。不過，該公司強調，即使是經過良好審計的協議，如果密鑰管理和操作安全措施不到位，仍然存在漏洞。

Cyvers的CEO Deddy Lavid警告，僅靠審計無法提供完整安全保障。“審計本身不夠。如果你不實時監控鑄幣和供應，你在最關鍵時刻就會失明，”他強調，呼籲持續進行自動化的特權行為監控。

全面審計、漏洞賞金與實時監控缺口

Resolv的官方文件列出了由五家不同安全公司進行的14次審計。該項目還在Immunefi上宣傳一個50萬美元的漏洞賞金計劃，並配備持續的智能合約監控系統。然而，這次成功的攻擊證明，即使投入大量安全資源，也可能因一個操作疏忽而被破壞。

行業觀察人士指出，損失規模與更廣泛的趨勢一致。近期一份Immunefi報告指出，平均加密貨幣駭客事件造成約2500萬美元的損失。此外，2024-2025年間五大漏洞佔據了行業被盜資產的62%，顯示風險集中度依然高企。

在此背景下，resolv駭客事件成為預部署審計和漏洞賞金的局限性案例。持續的鏈上監控、強化的密鑰管理以及對特權角色的嚴格控制，似乎越來越成為預防類似事件的必要措施。

DeFi傳染效應與平台層面反應

此次攻擊迅速波及整個DeFi生態系統。許多平台開始評估並降低對USR及相關資產的暴露。此外，它們也發布公開更新，以緩解用戶恐慌並預防進一步的系統性壓力。

Lido確認，存入Lido Earn的用戶資金仍然安全，未受到直接影響。Aave的創始人Stani Kulechov表示，該借貸協議沒有直接的USR暴露。他還提到Resolv正在積極償還未償還的債務，暗示協調努力以控制連鎖反應。

在借貸優化平台Morpho上，聯合創始人Merlin Egalite澄清，只有特定的金庫暴露於USR，而非整個平台。然而，這些針對性風險仍對特定資金池及其流動性提供者構成挑戰，促使快速進行治理和風險參數調整。

槓桿交易與借貸市場壓力

USR及其質押衍生品wstUSR已被多個協議批准作為抵押品，包括Morpho和Gauntlet。市場分析師報告稱，投機交易者似乎在價格低迷時買入USR，並用作抵押品，借出USDC，幾乎以1美元的價值。

這一策略造成市場價格與抵押品估值之間的嚴重不匹配。結果，受影響的金庫見證其穩定幣儲備被抽空，而支撐這些貸款的抵押品價值已經崩潰。不過，一些平台的風險引擎和預言機可能會隨時間調整，以減少長期損失。

Resolv的次級保險層代幣RLP也面臨資本損失的風險。持有約1360萬RLP（估值約1700萬美元）的Stream Finance，可能會將額外損失傳遞給存款人。此外，Stream在2025年11月曾披露過9300萬美元的損失，增加了用戶面臨的風險擴大。

事件後，RESOLV治理代幣在24小時內下跌約8.5%。這一跌幅反映了對協議償付能力的擔憂，以及對平台安全架構和運營韌性的更廣泛疑慮。

resolv usr鑄幣漏洞的更廣泛影響

由USR穩定幣漏洞引發的resolv駭客事件，展示了協議特權帳戶被攻破與實時監控不足如何破壞大量安全準備。此外，也凸顯了主要流動性場所的脫鉤事件如何迅速對借貸、質押和保險層造成連鎖性破壞。

展望未來，穩定幣發行商和DeFi協議可能會受到關鍵管理、抵押品驗證和鏈上風險監控的重新審視。總結來說，Resolv事件強化了一個嚴峻的教訓：沒有嚴密的鑄幣和特權存取控制，即使經過大量審計的系統也可能以災難性方式失敗。