当前位置:主页 > 区块链 > 资讯 > 20万致DeFi稳定币近1亿损失

20万换近1亿,DeFi稳定币USR再遭黑客攻击致脱锚

2026-03-22 22:16:35 | 来源:本站整理 | 作者:佚名
2026年3月22日,DeFi稳定币USR遭黑客攻击,攻击者利用协议设计漏洞,仅用20万枚USDC就铸造出8000万枚未担保的USR,导致USR严重脱锚,价格暴跌,黑客套现超2000万美元,引发市场恐慌,

20万换近1亿,DeFi稳定币USR再遭黑客攻击致脱锚

北京时间今日 10:21 左右,利用 Delta 中性策略发行稳定币 USR 的 Resolv Labs 遭到黑客攻击。0x04A2 开头的地址用 10 万枚 USDC 从 Resolv Labs 协议中铸造出了 5000 万枚 USR。

20万致DeFi稳定币近1亿损失

随着事件曝光,USR 应声跌至 0.25 美元附近,截至撰文时回升至 0.8 美元左右。RESOLV 代币价格短时最高跌幅也接近 10%。

之后黑客如法炮制再次用 10 万枚 USDC 铸造了 3000 万枚 USR。随着 USR 的大幅脱锚,套利交易者也快速行动,Morpho 上支持以 USR、wstUSR 等作为抵押品的很多借贷市场已几乎被掏空,BNB Chain 上的 Lista DAO 也暂停了新的借款请求。

受到影响的还不止这些借贷协议。Resolv Labs 协议设计中,用户还可以铸造一种价格波动更大,收益也更高,但需要在协议收到损失时承担赔偿责任的 RLP 代币。目前 RLP 代币的流通量近 3000 万枚,最大持有者 Stream Finance 持有超 1300 万枚 RLP,净风险敞口大约为 1700 万美元。

没错,之前因为 xUSD 暴雷了一次的 Stream Finance 可能要再次被暴击。

截至撰文时,黑客已将 USR 转换为 USDC 和 USDT,并持续买入以太坊,目前已经买入超 1 万枚。用 20 万枚 USDC 套出了超 2000 万美元的资产,黑客在熊市期间找到了属于 TA 的「百倍币」。

又一次因「不严谨」而被钻空子

去年 10 月 11 日的大跌,使得很多使用 Delta 中性策略发行的稳定币都因为 ADL(自动降杠杆)而产生了抵押品损失。部分以山寨币作为执行策略的资产的项目损失更为惨重甚至直接跑路。

这一次遭到攻击的 Resolv Labs 也是利用类似的机制发行 USR,该项目曾在 2025 年 4 月宣布完成了 Cyber.Fund 和 Maven11 领投,Coinbase Ventures 参投的 1000 万美元种子轮融资,并于 5 月底 6 月初上线了代币 RESOLV。

但 Resolv Labs 被攻击的原因并非极端行情,而是铸造 USR 的机制设计「不够严谨」。

目前还没有安全公司或者官方对此次黑客事件发生的原因进行分析。DeFi 社区 YAM 通过分析初步得出了结论:攻击很可能是协议后端用于给铸造合约提供参数的 SERVICE_ROLE 被黑客控制导致。

据 Grok 分析,用户铸造 USR 时会在链上发起请求,并调用合约的 requestMint 函数,参数包括:

_depositTokenAddress:存入的代币地址;

_amount:存入数量;

_minMintAmount:最低期望收到的 USR 数量(防滑点)。

之后,用户将 USDC 或 USDT 存入合约,项目方后端 SERVICE_ROLE 监控请求,使用 Pyth 预言机检查存入资产的价值,之后调用 completeMint 或 completeSwap 函数,决定实际铸造的 USR 数量。

问题就出在,铸造合约完全信任 SERVICE_ROLE 提供的 _mintAmount,认为该数字是在链下由 Pyth 验证过的,所以没有设置上限限制,也没有链上的预言机验证,直接执行了 mint(_mintAmount)。

据此,YAM 怀疑黑客控制了本应由项目方控制的 SERVICE_ROLE(可能是由于内部预言机失控、监守自盗或者密钥被盗),在铸造时直接将 _mintAmount 设置为 5000 万,实现了用 10 万枚 USDC 铸造 5000 万枚 USR 的攻击事件。

归根结底,Grok 给出的结论是,Resolv 在设计协议时并未考虑用于接收用户铸造请求的地址(或合约)会被黑客控制的可能性,在铸造 USR 的请求提交给最后铸造 USR 的合约时,没有设置最大铸造数额,也没有让铸造合约用链上预言机进行二次验证,就直接信任了 SERVICE_ROLE 提供的所有参数。

预防也不到位

除了推测被黑的原因,YAM 也指出了项目方在应对危机方面的准备不足。

YAM 在 X 上表示,Resolv Labs 在黑客第一次攻击完成后的 3 个小时才暂停了协议,其中有大约 1 小时的延迟是来自于收集多签交易需要的 4 个签名。YAM 认为,紧急暂停应该只需一个签名,且权限应该尽可能分配给团队成员,或者可信的外部运营人员,这样可以增加对链上异常情况的关注度,提高快速暂停的可能性,并更好地覆盖不同时区。

虽然只需单个签名就可以暂停协议的建议有些激进,但需要跨不同时区的多个签名才能暂停协议确实在紧急情况发生时可能会耽误大事。引入可信的、持续监控链上行为的第三方,或者使用有紧急暂停协议权限的监控工具,都是这次事件带来的「后事之师」。

黑客对 DeFi 协议的攻击早就已经不限于合约漏洞,Resolv Labs 的事件给项目方的警示在于:在协议安全方面的假设应该是不能信任其中任何一环,所有涉及参数的环节都必须至少进行二次验证,即使是项目方自己运营的后端也不例外。

以上就是20万换近1亿,DeFi稳定币USR再遭黑客攻击致脱锚的详细内容,更多关于20万致DeFi稳定币近1亿损失的资料请关注脚本之家其它相关文章!

免责声明:本文只为提供市场讯息,所有内容及观点仅供参考,不构成投资建议,不代表本站观点和立场。投资者应自行决策与交易,对投资者交易形成的直接或间接损失,作者及本站将不承担任何责任。!
Tag:DeFi   稳定币   USR  

你可能感兴趣的文章

更多

热门币种

  • 币种
    最新价格
    24H涨跌幅
  • bitcoin BTC 比特币

    BTC

    比特币

    $ 68558.99¥ 473447.81
    -0.2%
  • ethereum ETH 以太坊

    ETH

    以太坊

    $ 2056.76¥ 14203.36
    -1.13%
  • tether USDT 泰达币

    USDT

    泰达币

    $ 0.9996¥ 6.9029
    -0.04%
  • binance-coin BNB 币安币

    BNB

    币安币

    $ 625.55¥ 4319.86
    -0.75%
  • ripple XRP 瑞波币

    XRP

    瑞波币

    $ 1.3764¥ 9.505
    -1.4%
  • usdc USDC USD Coin

    USDC

    USD Coin

    $ 0.9998¥ 6.9043
    -0.03%
  • solana SOL Solana

    SOL

    Solana

    $ 86.3456¥ 596.27
    -0.91%
  • tron TRX 波场

    TRX

    波场

    $ 0.3082¥ 2.1283
    -0.19%
  • dogecoin DOGE 狗狗币

    DOGE

    狗狗币

    $ 0.090766¥ 0.6268
    -0.29%
  • hyperliquid HYPE Hyperliquid

    HYPE

    Hyperliquid

    $ 37.6655¥ 260.1
    -0.95%

币圈快讯

  • 587.13枚BTC从匿名地址转出经中转后流入Nobitex.ir

    2026-03-23 16:40
    据Arkham数据,在16:30,587.13枚BTC(价值约4001万美元)从一匿名地址(bc1qmwy2h0d...开头)转出至另一匿名地址(bc1q4ekd8q...开头)。随后,该地址将部分BTC(3枚)转移至Nobitex.ir。

  • Byreal上线AutoSwap、Compound、Rebalance流动性管理功能

    2026-03-23 16:39
    Byreal最新推出三项流动性管理新功能: 1.AutoSwap支持用户单币存入即可开启LP仓位,系统自动完成代币兑换及最优路径执行,无需手动操作;2.Compound功能允许用户一键将LP手续费收益自动复投至当前仓位,实现收益的持续滚动;3.Rebalance功能支持一键将流动性调整至新价格区间,降低仓位偏离风险,保持持续做市收益。 Byreal为Bybit孵化的Solana原生DEX,主打RWA资产链上交易及Copy-Farming机制,AIAgent友好。此次三项更新均以降低LP操作门槛为核心目标。

  • 过去24小时全网爆仓4.07亿美元多单爆仓3.13亿美元空单爆仓9377.16万美元

    2026-03-23 16:30
    据Coinglass数据,过去24小时全网爆仓4.07亿美元,多单爆仓3.13亿美元,空单爆仓9,377.16万美元。其中比特币多单爆仓9,859.43万美元,比特币空单爆仓2,189.38万美元,以太坊多单爆仓6,517.51万美元,以太坊空单爆仓1,473.15万美元。 此外,最近24小时,全球共有173,947人被爆仓,最大单笔爆仓单发生在Binance-XAUUSDT价值710.24万美元。

  • Gate推出VIP回馈三重礼活动交易返现、资金加息及VIP成长营同步上线

    2026-03-23 16:22
    据官方公告,Gate于3月20日19:00至4月3日23:59(UTC+8)推出VIP回馈三重礼活动,面向交易用户、资产持仓用户及VIP进阶用户提供多重激励。活动包含交易返现计划、资金升舱计划及VIP成长营三大板块。 其中,在交易返现计划中,VIP5及以上用户报名后,若30天累计合约交易量达到规定数量,即可获得VIP等级+2(限时15天,最高至VIP10)的等级加速奖励。同时,活动期间累计合约交易量达标的用户,还可获得10%交易返现券,最高封顶800USDT。在资金升舱计划中,VIP5及以上用户若满足资产及净入金条件,可解锁三重资金福利,包括最高8%USDT理财加息券、最高20GT空投奖励,以及VIP专属30日定期理财送黄金活动。 此外,平台同步推出VIP成长营,面向潜力用户提供进阶扶持。符合资产或交易条件的用户报名即可领取VIP5体验卡(15天);活动期间成功晋升VIP5的用户还可领取VIP新人礼包并参与分享500,000USDT空投奖池。

  • ZachXBT揭露社交媒体操纵网络:利用假新闻引流加密骗局涉案规模达数十万美元

    2026-03-23 16:22
    3月23日消息,链上侦探ZachXBT今日披露,一个由至少10个以上账号组成的协同网络,正通过制造战争等相关的恐慌性内容,在社交平台X上获取流量,并最终导流至加密诈骗项目。该网络通过购买已有粉丝基础的账号,频繁发布耸动「末日论」内容,并借助多个小号互相转发放大传播,迅速获得数百万浏览量及大量互动。调查显示,这些账号还利用AI生成虚假人物形象,例如伪造「亚洲版MarioNawfal」来增强可信度。在获取流量后,相关账号会推广虚假空投活动或加密项目骗局,包括在2026年2月22日集中推广名为ORAMAMA的拉盘出货项目,随后不再提及。链上数据表明,该操作已为背后团队带来六位数收益。同时,大量真实大号在评论与转发中无意参与互动,进一步放大了内容传播效果。ZachXBT警告称,此类「流量农场AI内容加密诈骗」的组合模式已高度成熟,且极易复制。如果类似机制被更高层级组织利用,其潜在影响将远超金融诈骗范畴,甚至可能演变为舆论操纵工具。ZachXBT呼吁平台加强监管,对此类操纵行为实施封禁及法律追责。同时建议用户在参与互动前仔细核查账号历史与信息来源,以应对日益泛滥的虚假内容与「互动诱饵」现象。
    • 查看更多

区块链百科

最新资讯

更多