Resolv的USR稳定币脱锚：攻击者铸造8000万无抵押代币，提取约2500万美元

攻击者利用Resolv的USR稳定币铸造合约中的漏洞，创造了约8000万无抵押代币并提取了约2500万美元，据多家区块链安全公司报告。

攻击始于UTC时间凌晨2:21左右。X账户YieldsAndMore首先标记了这一事件，发布Etherscan交易数据显示攻击者向Resolv的USR Counter合约存入100,000 USDC，并获得了5000万USR作为回报，大约是预期金额的500倍。第二笔交易又铸造了3000万USR。

USR是一种与美元挂钩的稳定币，使用由ETH和BTC而非法币储备支持的delta中性对冲策略。根据DEX Screener的数据，该代币在其流动性最高的Curve Finance池中在首次铸造后17分钟内跌至0.025美元。后来恢复到约0.85美元，但截至周日上午仍未恢复其锚定汇率。

攻击者从以0x04A2开头的地址操作，将铸造的USR在去中心化交易所兑换为USDC和USDT，然后将收益转换为ETH。根据区块链数据，攻击者的钱包地址持有11,409 ETH，按当前价格计算价值约2370万美元。另一个被识别为属于攻击者的钱包地址持有约110万美元的wstUSR代币。

Resolv Labs在X上的声明中表示，已暂停所有协议功能，其抵押池”保持完全完整”，”没有底层资产”损失。团队称该问题”仅限于USR发行机制”。

分析师指出访问控制薄弱

链上分析师Andrew Hong将此次漏洞归因于协议的SERVICE_ROLE，这是一个完成交换请求的特权账户。该角色由标准的外部拥有账户（EOA）而非多重签名控制。铸造合约缺乏预言机检查、金额验证和最大铸造限制。

DeFi基金D2 Finance概述了三种可能的解释：预言机被操纵、链下签名者被泄露，或者铸造请求与其完成之间的金额验证根本不存在。YieldsAndMore呼应了这一分析，并指出管理角色缺乏Resolv规模协议应有的防护措施。

“这正是稳定币风险变得真实的地方，”链上安全公司Cyvers的CEO Deddy Lavid告诉The Block。”仅靠审计是不够的，如果你不实时监控铸造和供应，在最重要的时候你就是盲目的。”

“这与日益增长的攻击趋势有关，这些攻击专注于安全团队的盲点——不直接持有资金但可用于访问资金的敏感密钥和凭证，”密钥管理公司Sodot的CEO Ido Sofer告诉The Block。

USR持有者面临严重损失

尽管Resolv声称其抵押池”保持完全完整”在技术上是准确的，但这一说法低估了损害。正如链上分析师所指出的，攻击采取了供应通胀的形式，而不是直接窃取支持资产。8000万新代币稀释了现有供应，攻击者的销售摧毁了池的流动性。任何当时持有USR的人都面临立即损失。

脱锚也波及到DeFi借贷市场。USR及其质押衍生品wstUSR被包括Morpho和Gauntlet在内的平台接受为抵押品。机会主义交易者可能以折扣市场价格购买USR，并以硬编码的1美元估值借入USDC，从这些金库中耗尽稳定币流动性。D2 Finance标记了Morpho上由Gauntlet策划的金库是受影响的金库之一。

损害可能延伸到Resolv的次级份额。YieldsAndMore指出，作为保险层吸收损失以保护USR持有者的Resolv流动性池（RLP）在攻击前价格下流通量约为3860万美元。最大的RLP持有者是Stream Finance，这家收益协议在2025年11月披露了9300万美元的损失，原因是外部基金经理挪用资产。

Stream在Morpho上持有1360万RLP头寸，代表约1700万美元的净敞口，这意味着其存款人可能面临又一次重大损失。

这次攻击打击了一个已经在贬值的协议。根据CoinMarketCap数据，USR的市值从2月初的约4亿美元下降到攻击前的约1亿美元。RESOLV治理代币在攻击后24小时内价格下跌约8.5%。

总部位于阿布扎比的Resolv在2025年4月由Cyber.Fund和Maven11领投筹集了1000万美元的种子轮融资，Coinbase Ventures、Arrington Capital和Animoca Ventures参与。通过Delphi Labs孵化，它通过资金费率套利和将USR与称为RLP的风险承担保险层配对的双层系统提供收益。

Resolv的网站吹嘘有来自五家公司的14次审计参与、500,000美元的Immunefi漏洞赏金以及持续的智能合约监控。Resolv没有立即回应The Block的置评请求。

攻击增加了2026年DeFi黑客攻击的不断增长总数

Resolv事件是2026年初一系列加密货币攻击中的最新一起。1月，Truebit在攻击者针对五年前部署的智能合约中的漏洞后损失了2660万美元。同月，Makina Finance在攻击者使用闪电贷操纵协议的预言机后，从稳定币池中损失了约500万美元。上周发布的Immunefi报告发现，平均每次加密货币黑客攻击现在花费约2500万美元，2024-2025年的前五大攻击占所有被盗资金的62%。

从政策角度来看，时机也值得注意，因为美国立法者正在积极辩论如何在GENIUS法案下监管产生收益的稳定币。美国银行家协会警告称，此类产品可能从传统银行吸引存款，关键参议员周五就稳定币收益处理达成了”原则性协议”。