USR機制本身埋下了什麼雷？為何歷經12次審計 依舊不安全

鄧通，金色財經

2026年3月22日，Resolv Labs穩定幣發生漏洞。某地址用10萬枚USDC鑄造出50,000,000枚USR，使得USR短時最低暴跌至0.14498美元，跌幅85.502%。截至發稿，USR價格有所回升，報0.3237美元，仍處於脫錨狀態。

一、Resolv Labs穩定幣脫錨事件始末

昨天，鏈上分析師@ai_9684xtpa監測，ResolvLabs穩定幣發生漏洞。「10 萬枚 USDC Mint 出了 5000 萬枚 USR，整整 500 倍！」

隨後，Ai 姨還原了事件經過：

1.用 10 萬枚 USDC Mint 出 5000 萬枚 USR；

2.將 3500 萬枚 USR 轉換為 wstUSR；

3.正將 wstUSR 持續換成 USDC 和 USDT；

4.用 USDT 買入 ETH，現已買入 455 萬美元的 ETH。

@OnchainLens發文指出：

Resolv 攻擊者僅用 20 萬美元的 USDC 就鑄造了價值 8000 萬美元的 USR。

> 隨後，攻擊者將其兌換成 wstUSR，再兌換成 USDC 和 USDT。

> 目前已使用價值 1724 萬美元的 USDC 和 USDT 購買了 9111 個 ETH。

> 仍在繼續將 USR 兌換成 USDC 和 USDT，並可能繼續購買更多 ETH。

在距離Ai姨發布推文近兩個小時後，Resolv Labs終於確認了遭攻擊的事實：

Resolv 遭遇漏洞攻擊，攻擊者利用該漏洞鑄造了 5000 萬枚未擔保的 USR。

目前，團隊已暫停所有協議功能以防止進一步的惡意操作，並正在積極進行恢復工作。

隨後，Resolv Labs繼續發文：

我們目前正在調查一起涉及未經授權鑄造 USR 的安全事件。現階段情況：抵押池保持完整，底層資產未發生任何損失；問題似乎僅侷限於USR發行機制層面。 當前的首要任務是：控制事件範圍；評估影響程度；確保合法用戶不受影響。我們正積極展開調查，並將儘快發布更多進展。

Cyvers 負責市場營銷和戰略的副總裁 Michael Pearl指出：由於供應量增長速度超過了市場吸收速度，加之代幣脫錨，剩餘代幣的價值受到了嚴重損害。

來自 Arkham 的鏈上數據（經 Web3 安全公司 Cyvers 證實）顯示，攻擊者已將大部分鑄造的 USR 兌換成了以太坊。其中一部分被出售，獲利約 11,400 ETH（約合 2400 萬美元），剩餘的USR 「仍在持續拋售」。

其他生態參與者的回應

與Resolv有業務往來的DeFi協議紛紛自證清白。

Venus Protocol發文指出：

由於持續的脫錨事件，Venus Flux 的 USR 市場已暫停交易。

Venus Core 不受影響。所有用戶資金安全無虞。

我們正在密切關注事態發展，並將在獲得更多資訊後及時更新。

DeFi研究和風險管理公司Gauntlet發文表示：

北京時間今日10:21，Resolv的USR合約遭攻擊……大部分Gauntlet財庫未受影響，少數高收益財庫存在有限風險。我們正在監控流動性，並會持續更新進展。

Euler Labs 發文：

已注意到 Resolv 報告的 USR 未經授權增發安全事件，團隊正在積極調查中，作為預防措施已將 Arbitrum 上 Euler Yield 金庫中的 RLP 抵押品功能禁用，Euler Earn USDC（Arbitrum）也已停止向 Euler Yield 進行資金分配。 Euler Labs 稱，上述措施旨在隔離潛在風險敞口，當前仍在持續評估事件影響，後續將及時披露更多進展。

Aave創始人Stani.eth在X平台發文確認：

其協議無Resolv Labs穩定幣USR敞口，Resolv僅作為流動性提供方將其支持資產供應給Aave協議，相關資產目前均保持安全，支撐資產本身未受影響，Resolv可順利退出並已開始償還債務，同時該事件對Aave流動性提供者（LP）沒有不利影響，對協議本身也沒有影響。

DeFi協議Fluid官方公告：

已獲悉Resolv駭客事件，Fluid的自動限額機制阻止了資金的過度借貸，USR市場也已暫停交易，事態發展得到控制。 

如果Fluid上仍有任何壞帳，所有用戶的損失都將得到全額賠償。用戶資金和協議安全是Fluid的首要任務，目前正在進行全面審查，調查結束後將發布詳細的事後分析報告。

次日，Fluid繼續發文：

團隊已獲得短期貸款，足以覆蓋協議中目前100%的不良債務。這些資金由Lomashuk、cyberfund、weremeow及Fluid核心團隊承諾提供，確保用戶資金安全。 

Resolv Labs已確認將覆蓋所有在安全事件發生前產生的USR部位，並將開放必要的贖回以關閉相關債務部位。此外，多位投資者表示有興趣在需要額外資金時從國庫購買FLUID，以進一步加強協議的後備保障。Fluid智能合約運行正常，所有其他市場正常運作，協議保障措施仍然有效，用戶在平倉期間可能遇到暫時的利率波動。

韓國加密貨幣交易所Bithumb和Upbit發文：

發布穩定幣USR相關交易警告，提醒投資者USR出現安全問題和價格劇烈波動，在投資Resolv 時格外謹慎。

二、Resolv Labs 遭攻擊原因及補救措施

Resolv Labs 官方發布了遭攻擊原因及後續的補救措施。

本通知由 Resolv Digital Assets Ltd. 代表發布，與 Resolv 協議相關。

今天早些時候，一名惡意攻擊者通過被盜用的私鑰非法訪問了 Resolv 基礎設施，導致約 8000 萬美元的無抵押 USR 被非法鑄造。目前正在進行全面的事後分析，完成後將公布分析結果。

該事件被迅速發現，相關智能合約也立即暫停運行。攻擊者持有的約 900 萬枚 USR 已被銷毀，以降低潛在影響。

該協議目前持有約 1.41 億美元的資產，迄今為止發現的唯一實際影響是暫停運行前處理的約 50 萬美元贖回。

當前 USR 供應量包括事件發生前的 1.02 億枚 USR 和約 7100 萬枚新近非法鑄造的代幣。

作為恢複流程的第一步，我們正準備為所有事件發生前的 USR 啟用贖回功能，首先面向已列入白名單的用戶。當前目標啟動日期為2026年3月23日。受影響用戶應通過官方渠道直接與RDAL聯繫。

此次事件由未經授權的第三方行為導致，包括有針對性的基礎設施入侵和網路攻擊。Resolv的底層抵押品並未直接受損。

我們正在積極：

• 追蹤並試圖控制非法鑄造的USR和其他受影響資產

• 與合作夥伴和交易對手協調

• 與執法部門和鏈上分析公司合作，以識別責任人

我們將採取一切可行的途徑追回資產，並將責任人繩之以法。

我們強烈建議用戶在恢復措施實施期間不要交易USR或相關的Resolv代幣。用戶在攻擊後期間的任何行為都可能影響資產恢復。

有關非法USR和RLP的更多最新資訊將在近期發布。

有很多關注者對此安全事件發出質疑：

• 0xKeep 評論：「事後分析會得出這樣的結論：密鑰泄露 → 未經授權的貨幣兌換 → 緊急暫停。只有當有人持有如此強大的密鑰時，才會出現這種操作順序。設計上的問題不在於暫停的速度有多快，而在於暫停鍵是否應該存在。」

• @Mahirsibli22指出：「8000萬美元的未經授權增發絕非小事。感謝官方的更新，但用戶需要明確的答案：——究竟哪些人有資格贖回？——完整的補償方案是什麼？——恢復時間表是什麼？信任岌岌可危，切勿辜負信任。  」

• @y_nabih指出：「Resolv 的 8000 萬美元「駭客攻擊」簡直是安全漏洞的笑話。一個泄露的密鑰就能發行 8000 萬枚無抵押的$USR？發行限額呢？多重簽名呢？時間鎖呢？如果你的安全模型僅僅是「請不要竊取管理員密鑰」，那麼你構建的不是去中心化金融（DeFi），而是一個中心化的印鈔機。」

• @xmr_bt指出：「真是太搞笑了。事件發生後不到一個小時，整個X平台都在轉發這條消息。就連不交易加密貨幣的人都看到了，而你們項目團隊卻好像什麼都沒注意到。我懷疑你們自己才是一邊守着金庫一邊偷東西的人。」

三、USR穩定幣機制本身埋下了什麼雷？

與USDC的法幣抵押、DAI的超額抵押不同，USR是對沖型穩定幣。

USR穩定幣的核心機制是抵押BTC等加密資產，同時在衍生品市場建立對沖空頭部位，形成「價格中性組合」。

由此產生的穩定幣 USR 從結構上免受加密貨幣市場波動的影響，並且具有資本效率。這一設計通過將中心化金融和去中心化金融的風險隔離到一個獨立的、高收益的代幣 ——RLP（Resolv Liquidity Provider，流動性提供商）中來實現的。換句話說，風險敞口被代幣化並提供給更廣泛的市場。這種風險隔離使得USR能夠完全由鏈上資產支持。但隱患在於強依賴「系統執行正確性」。

Resolv官網指出：RLP利用槓桿投資加密貨幣市場；可組合，集成於整個 DeFi 系統；起到保險層的作用，保護USR的穩定性。換言之：RLP是保險層，優先承擔損失；USR是優先級資產，優先保證兌付。但這種機制只對市場風險有效，對本次無限增髮式的問題無效。

因此，當駭客獲取了私鑰之後，即可無限增發 USR，導致供應失控並迅速脫錨。

四、為何歷經12次審計，Resolv Labs依舊不安全？

Resolv Labs經歷過12次審計，最近的一次是2026年1月，由MixBytes完成。「本次審計採用了人工代碼審查、靜態分析工具和安全最佳實踐相結合的方式。我們仔細核對了詳細的檢查清單，涵蓋了業務邏輯、常見的 ERC20 問題、與外部合約的交互、整數溢出、重入攻擊、訪問控制、類型轉換陷阱、捨入誤差以及其他潛在問題等各個方面……未發現任何漏洞。」

曾於去年7月對 Resolv 質押模塊進行審計的安全公司 Pashov 指出：Resolv 的設計「很好」，根本原因「與其說是設計問題，不如說是私鑰泄露」，這很可能是一個操作安全漏洞。「我們必須弄清楚這是怎麼發生的。」

很明顯，無論經過了多少次審計，審計的都是「代碼安全」，而不是「運維安全」。沒有審計團隊關心私鑰是否會泄露、權限被是否接管等問題。

誰持有管理員權限、是否冷儲存、是否多簽等問題均被忽視掉了。這直接導致了私鑰泄露問題成為了最高安全風險事項。通過審計可以預知未來的代碼風險，但無法預防私鑰泄露、內部人員作惡、DevOps攻擊等問題。代碼或許是安全的，但系統營運本身是不安全的。

從Resolv Labs安全事件來看，當前DeFi的最大風險，已經從「智能合約漏洞」，轉向了「權限與運維安全」。

Resolv Labs的12次審計

至於本次漏洞會對加密行業的影響，遠不及去年Balancer被盜的殺傷力（Balancer被盜曾造成行情暴跌，BTC 24小時跌幅2.6%，ETH24小時跌幅5.6%）。

• 現任 Ledger 首席技術官指出：「考慮到此次發行的規模和USR的市值，這並非類似Terra Luna事件那樣的重大事件。」

• DeFi資深用戶社群@yieldsandmore指出：Resolv 的次級 RLP 部分可能出現損失，凸顯了使用 RLP 作為抵押品的收益平台（如 Stream 和 yoUSD）可能產生的連鎖反應。 根據現有數據，風險敞口似乎「相對集中在」借貸市場和槓桿循環中，「而不是系統範圍內」，主要集中在將 USR、wstUSR 或 RLP 整合到借貸、槓桿或收益策略中的協議中。包括Euler、Venus、Lista和Fluid在內的幾個交易平台已採取預防措施，例如暫停交易或隔離金庫，而其他一些平台則宣布完全沒有風險。「與其說是廣泛蔓延，不如說風險是局部集中擴散，這種描述更為準確。」
  

另外，Polymarket上，在「穩定幣在2027年之前脫鈎？」的預測中，投注者對於USR的「期待值」徹底「拉滿」。不知道在USR之後，下一個處於風口浪尖的是誰了……

來源：金色財經

發佈者對本文章的內容承擔全部責任
在投資加密貨幣前，請務必深入研究，理解相關風險，並謹慎評估自己的風險承受能力。不要因為短期高回報的誘惑而忽視潛在的重大損失。