Resolv Digital Assets 发行的 USR 稳定币价格在周日遭遇重创,跌幅超过 70%。攻击者在 UTC 时间凌晨两点 21 分利用合约漏洞,铸造了约 8000 万美元的无支持代币。根据多家区块链安全机构的数据,此次攻击导致约 2500 万美元的 ETH 被提取并转移。
攻击者随后在去中心化交易所将铸币的 USR 兑换为 USDC 和 USDT,并将收益转换为 ETH。链上数据显示,攻击者目前持有 11409 枚 ETH,价值约 2370 万美元,另有一笔 110 万美元的封装 USR 存于独立钱包。这些资产已分散至不同地址,增加了追踪难度。
USR 原本是一种与一美元挂钩的稳定币,采用基于 ETH 和 BTC 的 Delta 中性对冲策略。在首次铸币后的 17 分钟内,其在 Curve Finance 最流动池的价格暴跌至 0.025 美元。尽管价格后来回升至 0.85 美元左右,但未能恢复挂钩。截至周一上午,该代币价格为 0.27 美元,周跌幅达 72%。此次波动反映了市场对稳定币机制失效的恐慌情绪,投资者信心受到严重打击。
Resolv Digital Assets Ltd. 发布公告称,恶意行为者通过受泄露的私钥获得了未授权的 Resolv 基础设施访问权限。团队最初将事件描述为受威胁的基础设施,但链上分析师发现根本问题更为严重。这种描述与实际情况存在显著偏差,揭示了技术细节的缺失。
核心缺陷在于 SERVICE_ROLE,这是一个控制铸造合约中交换请求完成的特权账户。该账户由单一外部拥有账户控制,而非多重签名。合约缺乏预言机检查、金额验证及最大铸造限额,导致系统无法识别异常交易,从而允许大规模盗取发生。
攻击者存入 100000 USDC,却换回 5000 万 USR,比例约为正常值的 500 倍。系统未对该比率合理性进行检查,导致巨额代币被凭空铸造。这种逻辑漏洞使得攻击者能够在无需抵押的情况下获取资产。
加密密钥管理公司 Sodot 的创始人 Ido Sofer 向 CoinDesk 指出,对于大多数智能合约而言,这种设置并不罕见。拥有合同具体权限的密钥通常是内部和外部威胁的诱人目标。单一故障点往往成为黑客攻击的首选路径。
Sofer 补充道,这反映了安全团队盲点攻击的增长趋势。敏感密钥和凭证不直接持有资金,但可被用来访问资金,包括开发人员凭证和交易 API 密钥。此类攻击正成为 DeFi 领域的主要威胁之一。安全团队需要加强对非资金类权限的监控力度,防止权限滥用。
DeFiLlama 数据显示,Resolv 的总锁仓量在 2025 年二月接近 6.84 亿美元的高峰,随后降至约 9500 万美元,直至此次漏洞发生。此次事件进一步加剧了投资者对该协议稳定性的担忧。市场信心的恢复需要时间和透明的沟通。
Resolv 表示正与执法机构及链上分析公司合作,将追查所有可行途径以追回资产。团队强烈建议用户在恢复措施实施期间避免交易 USR,称该期间的用户行为可能影响追回进展。未来行业需重新审视智能合约的安全审计标准。此次事件或将推动监管层面对 DeFi 托管机制的更严格审查,以预防未来类似风险。
