解析协议因8000万美元USR漏洞事件暂停运行_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

解析协议因8000万美元USR漏洞事件暂停运行

2026-03-24 23:27:13

Resolv Labs停止协议运营：密钥漏洞导致8000万稳定币被铸造

Resolv Labs已于3月22日暂停所有协议操作。此前，攻击者利用被盗的私钥铸造了8000万枚无抵押的USR稳定币，并通过兑换提取了价值约2500万美元的ETH。在攻击事件发生前，USR始终维持1美元锚定汇率，但在事件发生后几分钟内价格暴跌至0.025美元低位。截至本周一，该代币交易价格仍在0.27美元附近徘徊。

攻击损失8000万美元

攻击者通过USR漏洞从Resolv协议中抽走资金，触发了协议紧急暂停机制。

事件经过：两笔交易铸造8000万代币

攻击者利用被盗的AWS KMS私钥（标识为SERVICE_ROLE）授权了两笔铸造交易：一笔铸造5000万USR，另一笔铸造3000万USR。该密钥为单一外部持有账户，并非多重签名钱包，使得控制者可单方面行使铸造权限。

攻击者存入10万至20万美元的USDC，却获得了8000万USR作为回报，兑换比例达到预期的约500倍。智能合约仅设置了最低USR输出限制，但未设定铸造上限，这意味着特权密钥授权的任何数量都可无限制执行。

完成铸造后，攻击者将USR转换为wstUSR（质押封装形式），随后通过去中心化交易所流动性池兑换为ETH。此次事件延续了近期DeFi安全漏洞的常见模式。

攻击者目前持有约11,409枚ETH（价值约2370万美元）及110万美元的封装USR。在Curve Finance流动性最高的交易池中，USR于17分钟内暴跌至0.025美元，彻底击穿了价格锚定机制。

单一密钥如何摧毁整个协议

区块链分析公司Chainalysis发布报告确认根本原因在于链外特权密钥。报告指出：“攻击之所以成功，是因为铸造授权依赖于使用特权私钥进行签名的链外服务，而智能合约缺乏铸造数量上限控制。”

简而言之，Resolv的铸造系统如同配备两把锁的银行金库，但其中一把锁可被任意钥匙打开。链上合约仅验证授权签名者是否批准交易，却未对铸造数量进行合理性审查。

密钥管理公司Sodot创始人指出，此类漏洞并非Resolv独有：“拥有合约特定操作权限（本案中为铸造权限）的密钥常被忽视。这种单点故障对内外威胁都具有极大吸引力。”

与其他竞争协议相比，其设计差异值得关注。例如Ethena的USDe采用多方托管和交易所级抵押管理，而Resolv最关键的功能仅依赖单一外部账户，同类协议通常通过多重签名或时间锁机制规避此类风险。

加密货币基金将此次套现路径描述为“教科书级DeFi黑客套现操作”，攻击者在执行大规模抛售的同时，将USR分批转移至多个流动性协议。

项目方应对与偿付能力问题

Resolv已于本周一晚暂停所有协议功能，第四季空投与所有代币操作均已冻结。团队宣布自3月23日起为事件前USR持有者开启赎回通道，并销毁了900万美元USR以部分减少无抵押流通供给。

协议已向攻击者提出白帽协商：在72小时内归还90%被盗资金，并可保留10%作为赏金。项目方表示正与执法部门及链上分析机构合作追查攻击者。目前尚未知悉攻击者是否会接受该提议。

Resolv声称“抵押资产池保持完好”，表明底层资产未受损失。但该声明与协议资产负债表存在矛盾：攻击后资产为9500万美元，负债却达1.73亿美元。协议总锁仓价值在2025年2月曾达6.84亿美元峰值，而在攻击前已降至约9500万美元。

事件已引发广泛市场反应。韩国交易所Upbit将RESOLV列为交易预警资产并暂停充值服务。稳定币领域正重新面临对其DeFi原生锚定机制安全假设的审视。

协议当前状态：暂停运营

Resolv已暂停所有协议操作，团队正在调查漏洞事件并评估损失。

对于USR持有者而言，未来发展取决于团队能否弥补偿付缺口以及能否追回部分资金。Resolv尚未发布完整事件报告或公布恢复运营的时间表。受影响用户应通过官方渠道关注赎回方案的最新动态。

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文