资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
安全漏洞源于访问管理不足
去中心化金融生态系统采取行动以控制影响
传染效应在借贷生态中蔓延
一名手段高超的攻击者利用Resolv协议中USR铸造机制的一个漏洞,仅以初始20万美元USDC存款,生成了约8000万个无资产背书的代币。
攻击者成功提取了11,409枚ETH,价值约2500万美元。
USR在Curve Finance上的价格一度暴跌至0.025美元,随后部分回升至约0.85美元。
Resolv已暂停所有协议操作;尽管团队声称抵押资金池仍然安全,但由于供应量激增,USR代币持有者遭受了重大损失。
包括Morpho、Lido和Aave在内的主要去中心化金融平台迅速做出反应,评估并减轻其风险敞口。
事件概述
周日,Resolv的稳定币USR遭遇严重安全漏洞,攻击者利用其铸造基础设施的漏洞,生成了约8000万个无背书的代币,最终从协议中抽走了价值约2500万美元的以太坊。
恶意活动始于世界标准时间凌晨2:21左右。攻击者首先向Resolv的USR Counter合约存入10万枚USDC,作为回报却收到了惊人的5000万枚USR,这大约是正常数额的500倍。随后的一笔交易又产生了额外的3000万枚代币。
在完成未经授权的铸造后,攻击者通过多个去中心化交易所,系统性地将这些欺诈性USR兑换为USDC和USDT,随后将所得收益整合为ETH。攻击者的钱包目前持有11,409枚ETH,按当前市值计算约合2370万美元。
USR的设计目标是维持1美元的价格锚定,但在首次铸造交易发生仅17分钟后,其在Curve Finance上的价格灾难性地跌至0.025美元。尽管该代币后来部分反弹至约0.85美元,但截至周日早晨,其价格仍严重偏离锚定位。
Resolv Labs在X上宣布,已暂时暂停所有协议操作。开发团队强调,抵押资金池"保持完全完好","没有任何底层资产"受损。他们将此漏洞描述为"仅限于USR发行机制"。
尽管有这些保证,区块链分析师指出,现有的USR持有者遭受了严重损失。新铸造的8000万枚代币大量涌入,严重稀释了流通供应量,而攻击者的抛售行为耗尽了资金池的可用流动性。在此事件期间持有USR的任何投资者都立即遭受了投资组合损失。
安全漏洞源于访问管理不足
区块链安全分析师Andrew Hong指出,此次漏洞的根源在于一个被指定为SERVICE_ROLE的特权账户。这个关键账户由单个外部拥有账户控制,而非更安全的多重签名钱包。该铸造合约缺乏必要的安全措施,包括预言机验证、数量验证协议和最大铸造阈值。
曾在2025年7月审计过Resolv质押模块的安全公司Pashov告知,根本问题似乎源于私钥泄露,而非协议架构设计的内在弱点。
Cyvers首席执行官Deddy Lavid强调:"仅有审计是不够的。如果不能实时监控铸造和供应情况,在最关键的时刻你将如同盲人。"
Resolv的官方网站记录了由五家不同安全公司进行的14项独立审计,在Immunefi上托管的一项50万美元漏洞赏金计划,以及持续的智能合约监控系统。
去中心化金融生态系统采取行动以控制影响
漏洞发生后,众多去中心化金融平台实施了快速响应措施。Lido确认,存入Lido Earn的用户资金保持安全。
Aave创始人Stani Kulechov表示,该平台未直接持有USR敞口,并确认Resolv正在积极偿还未偿债务。Morpho联合创始人Merlin Egalite澄清,只有特定的金库持有USR敞口。
传染效应在借贷生态中蔓延
USR及其质押衍生品wstUSR均在Morpho和Gauntlet等平台上被批准为抵押资产。市场分析师观察到,机会主义交易者可能以大幅折扣价收购USR,然后以其完整的1美元估值作为抵押借入USDC,这实际上耗尽了受影响金库的流动性储备。
Resolv的次级保险份额RLP也面临潜在的资本减损。持有约1360万枚RLP头寸的Stream Finance可能将额外损失传导至其储户。Stream此前在2025年11月披露了9300万美元的损失。
安全漏洞发生后的24小时内,RESOLV治理代币下跌了约8.5%。
此次Resolv事件是行业更广泛模式的一个缩影。根据Immunefi最近的一份报告,目前平均每次加密货币攻击造成的损失约为2500万美元,而2024年至2025年间发生的五起最大规模攻击事件,占被盗资金总额的62%。
