撰文:Glendon,Techub News
3 月 22 日,专注于开发去中心化生息稳定币的 DeFi 协议开发商 Resolv Labs 突遭黑客攻击。链上数据显示,以「0 x04 A2」开头的攻击者地址仅存入 10 万枚 USDC,便利用协议漏洞铸造出 5000 万枚 USR 稳定币。随后,该攻击者故技重施,用另外的 10 万枚 USDC 铸造了 3000 万枚 USR。在此期间,Resolv Labs 官方发推确认协议遭到攻击,称团队已暂停所有协议功能并正在进行恢复工作。
然而,一切为时已晚。总计 8000 万枚无任何资产背书的 USR 早已快速涌入市场,导致稳定币 USR 迅速脱锚。同时,因市场流动性枯竭,交易执行过程中出现严重滑点,进一步加剧了 USR 的下跌。CoinMarketCap 数据显示,USR 一度脱锚至约 0.06 美元,跌幅超过 94%(当前 USR 回升至约 0.32 美元,依旧处于「严重脱锚」状态)。值得注意的是,攻击者的套现路径清晰且迅速,整个过程在数小时内便已完成。其将非法铸造的 USR 转换为 wstUSR 后,在 Curve、Uniswap 等去中心化交易所进行大量抛售,兑换为 USDC 和 USDT,随后又将这些稳定币兑换为价值约 2500 万美元的以太坊,最终成功实现了一场将攻击收益洗白的「闪电式劫掠」。
在当前本就低迷的市场环境中,Resolv Labs 遭受攻击无疑又一次打击了行业信心,甚至被加密社区称为熊市「经典剧本」的再次上演。而其被攻击的原因,依旧是那个老生常谈的「铸币机制设计问题」。
漏洞溯源:铸币机制的三重失守
首要要明确的是,Resolv 的稳定币系统采用的是双层结构设计。USR 是一种 1:1 锚定美元的稳定币,用户可通过存入 ETH 或 BTC 铸造 USR,其采用 Delta 中性策略,允许协议为持有的 ETH/BTC 开设等值空头永续头寸,以此抵消价格波动风险,进而使 USR 保持稳定。而 USR 持有者可以获得协议产生的部分收益,且可在 Pendle、Sommelier 等 DeFi 协议中进一步参与收益聚合。
同时,Resolv 引入了 Resolv Liquidity Provider Token(RLP)充当系统的「保险池」,用于吸收对冲策略中如清算、滑点、资金费率波动等潜在亏损。在此次攻击过程中,RLP 未能幸免。据 coingecko 数据,RLP 价格也从 1.38 美元下跌至 0.23 美元,跌幅超 83%。目前,RLP 已回升至 0.98 美元。
那么,Resolv Labs 是如何遭受黑客攻击的?综合安全公司 PeckShield 和多位链上分析师分析,Resolv Labs 黑客攻击事件的根本原因在于其铸币合约的权限控制与校验机制存在严重设计缺陷。其一,是权限控制的致命漏洞。在正常流程中,用户铸造 USR 需存入相应抵押品,且铸币数量应与抵押品价值 1:1 挂钩,但攻击者利用 SERVICE_ROLE 权限,绕过了抵押品价值校验环节,直接将铸币数量设置为一个天文数字,从而实现了用 20 万美元 USDC 铸造 8000 万枚 USR 的「超高杠杆」操作。
这一设计缺陷在于,SERVICE_ROLE 拥有直接决定铸币数量的权力,属于「超级权限」。由于协议并未采用多签或去中心化签名者网络,而是依赖单一或少数签名者,从而使得一旦密钥泄露或被攻破,系统即刻便会失守。
其二,链上金额校验机制的缺失堪称重大安全隐患。Resolv Labs 铸币合约完全信任链下签名者提供的铸币数量,既未在链上设置金额上限(如单笔最大 100 万 USR),也未引入预言机对抵押品价值和铸币数量进行实时比对验证。这意味着只要攻击者控制了链下签名者或获取了相应权限,就能随意铸造 USR,而无需考虑抵押品是否充足。正是这种缺乏校验的模式,为此次黑客攻击打开了方便之门。
其三,则是 Delta 中性策略的潜在风险。Resolv Labs 采用 Delta 中性策略发行 USR,但该事件也揭示了这种策略的设计弱点。Delta 中性策略使得协议的铸币逻辑与链下签名、预言机深度耦合,而这些耦合点恰恰成为了系统最脆弱的攻击面,一旦链下签名者或预言机出现问题,整个铸币机制就可能陷入混乱。
今日凌晨,Resolv Labs 官方终于发文阐述了攻击事件的发生原因。本次事件源于未经授权的第三方行为,包括针对性基础设施入侵及网络攻击。攻击者正是通过泄露的私钥非法访问了 Resolv 的基础设施,导致约 8000 万美元的无抵押 USR 被非法铸造。
同时,Resolv Labs 披露,攻击者持有的约 900 万枚 USR 已被成功销毁。当前 USR 供应量包括 1.02 亿枚事件发生前就已存在的 USR 和约 7100 万枚新铸造的非法代币。为尽可能挽回损失、恢复正常秩序,他们正准备今日启用攻击发生前 USR 的赎回功能,且将从已列入白名单的用户开始。并再次强调,Resolv 的底层抵押资产未直接受到影响,正在追踪并试图控制非法铸造的 USR 及其他受影响资产。
此举是 Resolv Labs 对早期用户的初步补救措施,可以看出该公司正在努力减轻损失,并追回损失的资金。但是,这一事件已经对行业造成了连锁反应。
连锁反应与启示
Resolv Labs 事件最直接的影响无疑是 USR 严重脱锚和 Resolv Labs 原生代币 RESOLV 价格下跌。RESOLV 一度跌超 16% 至 0.052 美元。此外,便是诸多 DeFi 协议受到波及。Curve Finance 上 USR/USDC 流动性池瞬间崩溃;Morpho 借贷市场中支持 USR、wstUSR 作为抵押品的借贷市场几乎被清空,大量用户因 USR 脱锚而面临强制平仓风险。
不过,Morpho 联合创始人 Paul Frambot 今日发推表示,Resolv Labs 攻击事件对 Morpho 产生的影响并没有传言那么大。该事件主要影响了 USR 和相关资产(如 RPL),以及以这些资产作为抵押品的贷款市场。在约 500 个存款额超 1 万美元的 Morpho 金库中,约有 15 个金库对受影响市场的风险敞口较大(超 1 万美元)。
另外,尽管其他与 Resolv 集成的协议或生态伙伴并未遭受重大冲击,也不得不被迫采取紧急措施,以保护自身用户。例如,DeFi 风险管理协议 Gauntlet 强调,Gauntlet USD Alpha 不持有 USR 或 RLP 头寸,其平台上的金库不受影响,资金提供者也不会受到影响,并且表示正在与 Resolv 商讨解决方案,对于剩余款项,Gauntlet 正在制定补偿方案。
DeFi 协议 Fluid 表示,其团队已获短期贷款,可覆盖协议中目前所有不良债务,以确保用户资金安全等。Aave 创始人 Stani.eth 也发推表态,其协议无 Resolv Labs 稳定币 USR 敞口,Resolv 仅作为流动性提供方将其支持资产供应给 Aave 协议,相关资产目前均保持安全。而其他将 USR 作为生息资产进行收益聚合的协议(如 Pendle、Sommelier),尽管未直接损失资金,其相关池子的收益率和资产价值也受到间接影响。
这再次揭示了 DeFi 生态中一个残酷的现实:一个协议的失败可能引发多个协议的「连锁崩塌」,尤其是当某个资产被广泛用作抵押品时。而即使这些协议自身未被攻击,也会因关联项目的风险事件而遭受声誉和业务上的连带伤害。
除此以外,在事件发生期间,攻击者将非法铸造的 8000 万枚 USR 分批抛售至 Curve、Uniswap 等 DEX 的 USR/USDC 流动性池时,也导致了价格剧烈波动。由于 USR 价值崩盘,流动性提供者不仅面临「无常损失」,还因为最终持有的资产几乎全部为脱锚的 USR,造成实质性资本损失。这一现象也暴露了新兴资产流动性池(交易量较小或深度不足)的结构性弱点,缺乏足够的交易深度来吸收巨量抛压,导致价格瞬间失真和系统性风险迅速扩散。
从更广泛的角度来看,Resolv Labs 事件绝非单一项目的安全失守那么简单,它更是对加密市场投资者信心的又一次沉重打击,可能触发新一轮的稳定币信任危机。稳定币作为 DeFi 活动的基础,其脱锚和安全问题往往会动摇了整个生态的稳定性根基,让市场对「算法稳定币」和「生息稳定币」的长期可行性产生更深的怀疑。甚至可能导致部分风险厌恶型投资者开始从高风险 DeFi 协议中撤资,转向更成熟的资产或避险策略。
该事件无疑为整个行业敲响了警钟,尤其在当前加密市场仍处于熊市周期、风险偏好普遍低迷的背景下,其警示意义被进一步放大。Resolv 再次暴露出的「过度依赖链下签名者且无链上校验」的问题,这被业内认为是「信任模型的崩溃」。同时,它也启示更多协议应该采用多签机制分散权限、引入 Chainlink、Pyth 等去中心化预言机网络实现链上实时校验,同时嵌入自动化熔断机制,以增强系统的安全性和抗风险能力。
此外,在应急响应方面,从昨日 10 时到 12 点时,Resolv 团队在攻击发生两个多小时后才暂停协议,这充分暴露了其应急流程的迟缓。此次事件后,项目方应当更重视建立快速、自动化的危机响应系统。
结语
截至撰稿时,Resolv Labs 还没有公布全面赔偿方案。对于在攻击发生后仍持有 USR 或因脱锚而遭受损失的用户,以及 RLP 代币持有者因保险池价值稀释所造成的损失,目前尚未有明确的赔偿计划公布。市场也正在密切关注其后续是否会对受损用户群体提供进一步补偿。
这场攻击事件不禁让人思考,DeFi 的「去中心化」究竟是技术架构的革命,还是信任模式的重构?当创新与安全的天平失衡,或许只有回归「最小信任」的底层逻辑,才能在效率与风险间找到可持续的平衡点。
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
