Resolv USRステーブルコイン、コントラクト悪用で8000万個の無担保トークンがミントされた後にペグが外れる

2026年3月22日、攻撃者はResolvのUSRステーブルコイン発行コントラクトの脆弱性を悪用し、約20万ドル相当のUSDCから約8000万の裏付けのないトークンを生成し、推定で2500万ドルを引き出しました。これによりUSRはCurve上で0.025ドルまで暴落し、その後部分的に回復して約0.85ドルとなりました。

この脆弱性は、外部所有アカウント（EOA）が管理する特権的なミント役割に起因し、ミント制限やオラクル検証が行われていなかったことにあります。攻撃者は一度の取引で5000万USRをミントし、別の取引で3000万USRをミントしました。Resolv Labsは事件後、すべてのプロトコル機能を停止し、「担保プールは完全に維持されており」「基礎資産は失われていない」と声明を出しましたが、既存のUSR保有者は供給希薄化による即時の損失に直面しました。

攻撃者はミントしたステーブルコインを約11,409 ETH（約2370万ドル相当）に換金し、さらにラップされたUSRトークンに110万ドルを保有しています。

攻撃の仕組みと技術的脆弱性

脆弱性の経緯

攻撃はUTC時間の3月22日午前2時21分頃に始まり、最初の取引では攻撃者がResolvのUSRカウンターコントラクトに10万USDCを預け、50百万USRを受け取りました（予想の約500倍）。次の取引ではさらに3000万USRをミント。最初のミントから17分以内に、USRはCurveの最も流動性の高いプールで0.025ドルまで下落しました。

根本原因：アクセス制御の脆弱性

OnchainアナリストのAndrew Hongは、この侵害はプロトコルのSERVICE_ROLEに起因すると指摘しています。これはスワップリクエストを完了させる特権アカウントであり、以下の重大な脆弱性を含んでいました。

単一EOAによる管理：SERVICE_ROLEはマルチシグウォレットではなく、標準的な外部所有アカウントによって制御されていた

ミント制限なし：ミントコントラクトに最大ミント量の制限がなかった

オラクル検証なし：価格や担保の裏付けを検証するオラクルチェックが実装されていなかった

金額検証の欠如：ミントリクエストと完了の間で金額の検証が行われていなかった

DeFiファンドのD2 Financeは、脆弱性の原因としてオラクル操作、オフチェーン署名者の侵害、またはミントリクエストと完了間の金額検証の欠如の3つの可能性を挙げています。

セキュリティの振り返りと背景

Resolvのウェブサイトは、5つの企業による14回の監査、50万ドルのImmunefiバグバウンティ、継続的なスマートコントラクト監視を誇示していました。これらの対策にもかかわらず、セキュリティ専門家は「盲点」と呼ばれるセキュリティの隙間が存在していると指摘しています。これは、資金を直接保持しない敏感な鍵や資格情報でありながら、アクセスに利用できる状態にあるものです。

キー管理企業SodotのCEO、Ido Soferは次のように述べています。「これは、資金を直接保持しない敏感な鍵や資格情報に焦点を当てた攻撃の増加傾向と関連しています。」

市場への影響とユーザーの損失

USR価格の暴落と回復

USRはドルペッグのステーブルコインで、法定通貨の reserves ではなくETHとBTCを裏付けとしたデルタニュートラルヘッジ戦略を採用しています。最初のミントから17分以内にCurve上で0.025ドルまで暴落しました。その後約0.85ドルまで回復しましたが、日曜の朝時点ではペッグは完全には回復していません。

流動性と担保の損失

この攻撃により、約8千万の新規トークンが発行され、既存の供給が希薄化しました。攻撃者はミントしたUSRをUSDC、USDT、最終的にETHに売却し、プールの流動性を破壊しました。攻撃時にUSRを保有していた者は即時の損失を被りました。

このペッグ崩壊はDeFiレンディング市場にも波及しました。USRとそのステークされた派生トークンwstUSRは、MorphoやGauntletなどのプラットフォームで担保として受け入れられました。投機的なトレーダーは、市場価格の割引を利用してUSRを買い、$1の評価でUSDCを借り入れ、安定コインの流動性を枯渇させました。

RLP保険層のリスク

被害はResolvのジュニアトランシェであるResolv Liquidity Pool（RLP）にも及ぶ可能性があります。RLPはUSR保有者を保護するための損失吸収層です。YieldsAndMoreによると、RLPの流通量は約3860万ドル相当と推定されます。最大のRLP保有者はStream Financeで、2025年11月に外部資金マネージャーの不正流用により9300万ドルの損失を報告しています。StreamはMorpho上に1360万RLPを保有し、約1700万ドルの純リスクを抱えています。これは預金者がさらなる大きな損失を被る可能性を示しています。

プロトコルの背景と業界の状況

Resolvの概要

アブダビ拠点のResolvは、2025年4月にCyber.FundとMaven11主導の1000万ドルのシードラウンドを調達し、Coinbase Ventures、Arrington Capital、Animoca Venturesも参加しました。デルファイラボを通じてインキュベートされ、USリスクを伴う二層構造のUSリと担保層RLPを組み合わせた利回り獲得戦略を提供していました。

攻撃前、USRの時価総額は2023年2月初旬の約4億ドルから約1億ドルに減少していました。RESOLVのガバナンストークンも、攻撃後に約8.5％下落しました。

2026年のDeFi攻撃のトレンド

Resolv事件は、2026年初頭の一連の暗号資産攻撃の一例です。

2026年1月：Truebitは、5年前に展開されたスマートコントラクトの脆弱性を突かれ、2660万ドルを失った。

2026年1月：Makina Financeは、フラッシュローンオラクル操作攻撃により約500万ドルを失った。

先週公開されたImmunefiのレポートによると、平均的な暗号ハッキングの被害額は約2500万ドルであり、2024-2025年の上位5件の攻撃が盗まれた資金の62％を占めています。

規制の動向

この攻撃のタイミングは、米国のGENIUS法に基づく利回り付ステーブルコイン規制に関する議論と重なっています。米国銀行協会は、こうした商品が従来の銀行から預金を奪う可能性があると警告しています。2026年3月20日には、主要な上院議員がステーブルコインの利回り規制について「原則合意」に達しました。

よくある質問

ResolvのUSR攻撃はどのように行われたのか？

攻撃者は、特権的な役割（SERVICE_ROLE）が単一の外部所有アカウントによって制御されており、ミント制限やオラクル検証、金額チェックがなかった脆弱なコントラクトを悪用しました。最初に10万USDCを預け、500倍の50百万USRを受け取り、その後もう一度30百万USRをミントし、合計約8千万の裏付けのないトークンを作り出しました。

Resolvは担保資産を失ったのか？

Resolv Labsは、「担保プールは完全に維持されており」「基礎資産は失われていない」と述べていますが、これは実際の損害を過小評価しています。攻撃は担保資産の直接盗難ではなく、供給のインフレを引き起こしたものであり、80百万USRの新規発行により既存のUSR供給が希薄化し、攻撃者の売却によりプールの流動性が破壊され、USR保有者は即時の損失を被りました。

この攻撃の総合的な金銭的影響は？

攻撃者は約2500万ドルを抽出し、ミントしたUSRを11,409 ETH（約2370万ドル相当）に換金し、さらに110万ドルのラップUSRトークンを保有しています。USR保有者は供給希薄化による損失に直面し、DeFiレンディングプラットフォームは流動性の枯渇により資金を失いました。