loading...
2026年3月,加密生态迎来一场震动市场的安全危机——攻击者仅投入约10万美元USDC,通过利用Resolv协议中铸币函数的关键漏洞,成功铸造出价值约8000万美元的非法稳定币USR,随后在短短17分钟内完成套现并洗出为ETH。这一事件不仅暴露了当前高资本效率稳定币模型的致命短板,更将“链下签名”这一看似便捷的设计推上风口浪尖。
链上数据显示,攻击者以1:500的比例将10万美金的初始资产转化为8000万枚USR,这表明合约在执行阶段完全失去了对铸造金额的校验能力。目前主流分析指向三种可能路径:预言机被操控、链下签名者密钥泄露,或请求与执行之间缺乏金额一致性校验。
从攻击速度和结果来看,假说B(链下签名者密钥泄露)或假说C(校验逻辑缺失)的可能性更高。前者意味着攻击者获得了协议后端服务的合法签发权限,可伪造任意金额的铸造指令;后者则说明合约在关键流程中存在逻辑断层,允许参数篡改。无论哪种情况,都反映出系统设计中对中心化组件的信任过度。
攻击者并未试图一次性抛售,而是将8000万枚USR分批注入Curve Finance的主流动性池——该池日交易量高达360万美元,是市场上最活跃的USR/USDC交易场所。随着巨量抛压涌入,池子流动性瞬间枯竭,USR价格在02:38 UTC跌至谷底2.5美分,跌幅超过97%。
在此期间,攻击者在0.25美元至0.5美元区间逐步兑换为USDC与USDT,最终全部转换为ETH完成洗出。据PeckShield估算,实际套现金额约为2500万美元,提取率约30%,其余70%的价值因极端滑点而蒸发。
此次攻击并非孤立事件,其影响迅速蔓延至整个生态。主要受波及的协议包括:
尤其值得注意的是,Morpho上的“MEV Capital Resolv USR Vault”TVL规模庞大,成为本轮清算的主要承受者之一。
根据Resolv双层风险架构设计,损失首先由RLP持有人承担。由于协议资产净值下降,RLP价格将随之贬值,这部分投资者面临直接财务损失。
而持有杠杆仓位的用户则遭遇双重打击:一是因抵押率跌破清算线被强制平仓,二是以低于锚定价的市价卖出持仓。普通USR持有人虽理论上享有赎回保护,但因协议已暂停功能,无法操作,只能以0.87美元市价成交,承担约13%的脱锚损失。
攻击发生后,Resolv团队立即暂停所有功能,包括铸造、赎回与转账,以阻止进一步损失。然而,截至报告发布时,完整的漏洞根因分析(RCA)与补偿方案仍未公布,符合DeFi事件典型处置节奏。
值得注意的是,该协议此前已部署Hypernative主动监控系统,并与Immunefi合作设立赏金计划。但攻击在17分钟内完成,且执行效率极高,暴露出预警机制在极端场景下的响应瓶颈。
这次事件再次敲响警钟:追求极致资本效率的“1:1铸币”模型,在牺牲缓冲空间的同时,也将系统脆弱性放大到了极限。
Delta中性稳定币的设计初衷是通过现货+对冲实现风险中性,从而避免超额抵押。但一旦铸币逻辑被攻破,系统便失去最后一道防线。相较之下,如MakerDAO这类超额抵押体系即使出现漏洞,仍有一定缓冲吸收损失。
此外,协议在三个月内从不足5000万美元TVL飙升至6.5亿美元,主要依赖Morpho等平台的杠杆策略。这种指数级增长带来的集成复杂度,远超审计能力,为后续漏洞埋下伏笔。
Resolv事件的本质,不是一次偶然的代码错误,而是一场对“去中心化效率神话”的深刻拷问。当一个协议依赖链下签名来提升体验,就等于引入了一个中心化的权力节点;当一个系统拒绝设置抵押缓冲,就等于放弃了自我修复的能力。
未来,任何希望复制此类模式的项目,必须重新审视:你敞开的每一个效率窗口,是否也同时打开了一个攻击入口?在追求极致资本效率的路上,真正的安全,从来不在代码的某一行,而在对风险的敬畏与克制之中。
264
362
659
744
1044
176
922
929
600
