稳定币应该值一美元。 Resolv 的 USR 价值 27 美分,并且修复它的数学方法不起作用。
据多家区块链安全公司和链上数据显示,周日凌晨 2:21 左右,一名攻击者利用了 Resolv 的 USR 稳定币铸造合约中的缺陷,在两笔交易中创建了约 8000 万个无支持的代币,并提取了约 2500 万美元。
然后,攻击者在去中心化交易所将铸造的 USR 换成 USDC 和 USDT,将收益转换为 ETH,现在攻击者在另一个钱包中持有 11,409 个 ETH,价值约 2370 万美元,另外还有价值 110 万美元的包装 USR。
根据 DEX Screener 的数据,USR 是一种与美元挂钩的稳定币,采用由 ETH 和 BTC 支持的 Delta 中性对冲策略,其流动性最强的 Curve Finance 池在首次铸造后 17 分钟内就暴跌至 0.025 美元。
后来回升至 0.85 美元左右,但尚未恢复挂钩。截至周一上午,其交易价格为 0.27 美元,本周下跌 72%。
本通知代表 Resolv Digital Assets Ltd. 就 Resolv 协议发布。
今天早些时候,一名恶意行为者通过受损的私钥获得了对 Resolv 基础设施的未经授权的访问,导致铸造了约 8000 万美元的……
— Resolv 实验室 (@ResolvLabs) 2026 年 3 月 22 日
根本原因比 Resolv 最初声明所暗示的更糟糕。该团队将该事件描述为“私钥泄露”和“有针对性的基础设施泄露”。
但 链上分析师 发现真正的问题是结构性的。 SERVICE_ROLE 是一个在铸币合约中完成交换请求的特权帐户,由单个外部拥有的帐户而不是多重签名控制。该合约缺乏预言机检查、金额验证和最大铸币限额。
攻击者存入 100,000 USDC,并收到 5000 万 USR 作为回报,大约是预期金额的 500 倍,因为系统中没有任何内容检查该比率是否合理。
“对于大多数智能合约来说,这种设置并不罕见,”加密密钥管理公司 Sodot 的创始人 Ido Sofer 告诉 CoinDesk。 “有一个密钥对合同细节具有权威性 – 在这种情况下,对于铸币来说,它经常被忽视。这种单点故障对于内部和外部威胁来说是一个有吸引力的目标。”
“这与攻击日益增长的趋势有关,这些攻击集中在安全团队的盲点上——不直接持有资金,但可用于访问资金的敏感密钥和凭证。这包括开发凭证、交易 API 密钥和其他部署密钥,”他补充道。
DeFiLlama 数据显示,Resolv 的 TVL 在 2025 年 2 月达到接近 6.84 亿美元的峰值,然后在该漏洞发生前全年下降至 9500 万美元左右。
Resolv 表示,它正在与执法部门和链上分析公司合作,并将“寻求所有可用的途径来追回资产”。
该团队强烈建议不要在实施恢复措施期间交易 USR,并补充说“用户在利用后期间的行为可能会影响恢复。”
更正时间: 6:39 世界标准时间: 之前的版本在标题和故事正文中错误地提到了 8000 万美元作为损失
