Resolv Labs 移除57%的非法鑄造USRTokens

一名黑客利用Resolv的私鑰通過AWS Key Management Service，僅用約$100K USDC鑄造了8000萬未背書的USR代幣。

攻擊者將USR轉換為wstUSR，然後兌換成穩定幣，並在尚未反應過來之前套現約$25M ETH (11,409 ETH)。

USR在Curve Finance內在17分鐘內從$1 跌至$0.025。

Resolv的回應：
→ 第1天燒毀約9M USR
→ 升級wstUSR合約以將攻擊者錢包加入黑名單
→ 總共永久移除46M代幣(57%)
→ 現在攻擊者地址上不再有非法USR

但事實：
→ 攻擊者已套現約$25M ETH
→ 協議持有約$95M 資產，負債較高(功能性破產)
→ USR掛鉤未恢復
→ 18次審計未能發現漏洞

根本原因：無鑄幣限制，無預言機檢查，單一私鑰控制鑄幣。無多簽。

關鍵教訓：僅靠智能合約審計是不夠的。鏈下基礎設施的安全同樣至關重要，對於DeFi協議而言。

贖回僅對在攻擊前持有USR的用戶開放，需通過白名單。恢復期間請勿交易USR。