20万换近1亿,DeFi稳定币USR再遭黑客攻击致脱锚
北京时间今日 10:21 左右,利用 Delta 中性策略发行稳定币 USR 的 Resolv Labs 遭到黑客攻击。0x04A2 开头的地址用 10 万枚 USDC 从 Resolv Labs 协议中铸造出了 5000 万枚 USR。
随着事件曝光,USR 应声跌至 0.25 美元附近,截至撰文时回升至 0.8 美元左右。RESOLV 代币价格短时最高跌幅也接近 10%。
之后黑客如法炮制再次用 10 万枚 USDC 铸造了 3000 万枚 USR。随着 USR 的大幅脱锚,套利交易者也快速行动,Morpho 上支持以 USR、wstUSR 等作为抵押品的很多借贷市场已几乎被掏空,BNB Chain 上的 Lista DAO 也暂停了新的借款请求。
受到影响的还不止这些借贷协议。Resolv Labs 协议设计中,用户还可以铸造一种价格波动更大,收益也更高,但需要在协议收到损失时承担赔偿责任的 RLP 代币。目前 RLP 代币的流通量近 3000 万枚,最大持有者 Stream Finance 持有超 1300 万枚 RLP,净风险敞口大约为 1700 万美元。
没错,之前因为 xUSD 暴雷了一次的 Stream Finance 可能要再次被暴击。
截至撰文时,黑客已将 USR 转换为 USDC 和 USDT,并持续买入以太坊,目前已经买入超 1 万枚。用 20 万枚 USDC 套出了超 2000 万美元的资产,黑客在熊市期间找到了属于 TA 的「百倍币」。
又一次因「不严谨」而被钻空子
去年 10 月 11 日的大跌,使得很多使用 Delta 中性策略发行的稳定币都因为 ADL(自动降杠杆)而产生了抵押品损失。部分以山寨币作为执行策略的资产的项目损失更为惨重甚至直接跑路。
这一次遭到攻击的 Resolv Labs 也是利用类似的机制发行 USR,该项目曾在 2025 年 4 月宣布完成了 Cyber.Fund 和 Maven11 领投,Coinbase Ventures 参投的 1000 万美元种子轮融资,并于 5 月底 6 月初上线了代币 RESOLV。
但 Resolv Labs 被攻击的原因并非极端行情,而是铸造 USR 的机制设计「不够严谨」。
目前还没有安全公司或者官方对此次黑客事件发生的原因进行分析。DeFi 社区 YAM 通过分析初步得出了结论:攻击很可能是协议后端用于给铸造合约提供参数的 SERVICE_ROLE 被黑客控制导致。
据 Grok 分析,用户铸造 USR 时会在链上发起请求,并调用合约的 requestMint 函数,参数包括:
_depositTokenAddress:存入的代币地址;
_amount:存入数量;
_minMintAmount:最低期望收到的 USR 数量(防滑点)。
之后,用户将 USDC 或 USDT 存入合约,项目方后端 SERVICE_ROLE 监控请求,使用 Pyth 预言机检查存入资产的价值,之后调用 completeMint 或 completeSwap 函数,决定实际铸造的 USR 数量。
问题就出在,铸造合约完全信任 SERVICE_ROLE 提供的 _mintAmount,认为该数字是在链下由 Pyth 验证过的,所以没有设置上限限制,也没有链上的预言机验证,直接执行了 mint(_mintAmount)。
据此,YAM 怀疑黑客控制了本应由项目方控制的 SERVICE_ROLE(可能是由于内部预言机失控、监守自盗或者密钥被盗),在铸造时直接将 _mintAmount 设置为 5000 万,实现了用 10 万枚 USDC 铸造 5000 万枚 USR 的攻击事件。
归根结底,Grok 给出的结论是,Resolv 在设计协议时并未考虑用于接收用户铸造请求的地址(或合约)会被黑客控制的可能性,在铸造 USR 的请求提交给最后铸造 USR 的合约时,没有设置最大铸造数额,也没有让铸造合约用链上预言机进行二次验证,就直接信任了 SERVICE_ROLE 提供的所有参数。
预防也不到位
除了推测被黑的原因,YAM 也指出了项目方在应对危机方面的准备不足。
YAM 在 X 上表示,Resolv Labs 在黑客第一次攻击完成后的 3 个小时才暂停了协议,其中有大约 1 小时的延迟是来自于收集多签交易需要的 4 个签名。YAM 认为,紧急暂停应该只需一个签名,且权限应该尽可能分配给团队成员,或者可信的外部运营人员,这样可以增加对链上异常情况的关注度,提高快速暂停的可能性,并更好地覆盖不同时区。
虽然只需单个签名就可以暂停协议的建议有些激进,但需要跨不同时区的多个签名才能暂停协议确实在紧急情况发生时可能会耽误大事。引入可信的、持续监控链上行为的第三方,或者使用有紧急暂停协议权限的监控工具,都是这次事件带来的「后事之师」。
黑客对 DeFi 协议的攻击早就已经不限于合约漏洞,Resolv Labs 的事件给项目方的警示在于:在协议安全方面的假设应该是不能信任其中任何一环,所有涉及参数的环节都必须至少进行二次验证,即使是项目方自己运营的后端也不例外。
以上就是20万换近1亿,DeFi稳定币USR再遭黑客攻击致脱锚的详细内容,更多关于20万致DeFi稳定币近1亿损失的资料请关注脚本之家其它相关文章!
你可能感兴趣的文章
-
Aave创始人放话:50万亿美元“丰饶资产”热潮开启DeFi新 纪 元!
Aave创始人Stani Kulechov预言,到2050年,DeFi可通过代币化从太阳能等“丰饶资产”中受益,规模或达50万亿美元,目前已有近250亿美元现实资产被代币化,他预计此类资产将持…
2026-02-16 -
维塔利克·布特林(Vitalik)发声:去中心化稳定币是DeFi核心,中心化
Vitalik强调,去中心化稳定币是DeFi生态的基石,必须超越对美元的单一依赖,构建长期可持续的价值锚定机制,他指出当前中心化收益模式存在三大隐患:锚定单一法币的系统性风…
2026-02-09 -
2026年重塑加密市场的5大变革性DeFi趋势,一文详解
本文系统梳理了 2026 年正在重塑交易者、机构与开发者参与链上金融方式的五大关键趋势,并揭示这些变化如何将机会从单纯的投机交易,延展至更具可持续性的基础设施建设,感…
2026-01-18 -
Dragonfly 的 2026 年加密货币展望:比特币、钱包和 DeFi 的转变
在宏观经济不确定性加剧的情况下,比特币作为一种中性且稀缺的资产,其吸引力有所增强,尤其是在主要司法管辖区的监管透明度不断提高的情况下,比特币在加密货币总市值中的…
2026-01-05 -
DeFi先驱因对以太坊(ETH)下了一笔相当糟糕的赌注,吐出5万美元
DeFi先驱马克在一次高风险交易中,因低估以太坊波动性,在3700美元高位重仓做多,当市场突遭黑天鹅事件暴跌至3400美元,其杠杆头寸被强制平仓,5万美元本金瞬间蒸发,他反思…
2026-01-02 -
DeFi的下一步是什么?2026年值得关注的DeFi顶级趋势
这篇文章主要来和大家预测一下2026年DeFi的三大趋势,统一稳定币层解决流动性碎片化问题,DEX与CEX竞争加剧并可能占据50%交易量,隐私导向协议和区块链的采用将推动机构参…
2025-12-26 -
a16z押注能源代币化实验:DayFi将如何用DeFi重构电网?一文了解
a16z支持的DayFi协议通过区块链将分布式电力资产(如太阳能、电动汽车充电桩)代币化为GRID稳定币和sGRID收益代币,实现电力供需的实时匹配与交易,用户通过贡献闲置电力获…
2025-12-13 -
抄底良机?真实收益DeFi 代币,一文深度解析
我们审视了拥有“真实收益”的 DeFi 明星项目——Ethena (ENA)、Pendle (PENDLE) 和 Hyperliquid (HYPE),并提出了一个内核问题:在代币价格下跌的同时,它们的基本面是否…
2025-12-03 -
Curve分析:基于流动性与激励机制以及社区构建的DeFi堡垒
Curve是DeFi领域的流动性引擎,通过创新挖矿机制与社区共治模式,构建起稳定高效的交易生态,成为去中心化金融的核心基石,…
2025-11-16 -
DeFi备受关注的稳定币USDX是什么?为何崩盘?深入剖析USDX脱锚原因与影响
上周,去中心化金融(DeFi)领域再次遭受重创,Stable Labs发行的合成稳定币USDX遭遇了剧烈的脱锚事件,本文将探讨USDX崩盘的时间线,深入剖析合成稳定币的底层机制,分析脱…
2025-11-10
