Resolv USR 稳定币在攻击者通过合约漏洞铸造8000万枚无抵押代币后脱锚

2026年3月22日，一名攻击者利用Resolv的USR稳定币铸造合约中的漏洞，制造了约8000万未背书的代币，使用约20万美元的USDC提取了估计2500万美元，导致USR在Curve上的价格崩跌至0.025美元，随后部分恢复至约0.85美元。

此次漏洞源于由单一外部拥有账户（EOA）控制的特权铸币角色，没有设定铸币限制或预言机验证，允许攻击者在一次交易中铸造5000万USR，另一交易中铸造3000万USR。Resolv Labs在事件发生后暂停了所有协议功能，并声明其抵押池“仍然完好无损”，没有“任何基础资产”丢失，但现有USR持有者因供应稀释而面临直接损失。

攻击者将铸造的稳定币兑换成约11409 ETH（价值约2370万美元），并持有额外价值110万美元的包裹USR代币。

攻击机制与技术漏洞

漏洞时间线

攻击始于UTC时间2026年3月22日凌晨2:21左右，首次交易显示攻击者向Resolv的USR反向合约存入10万USDC，获得了5000万USR，约为预期的500倍。第二笔交易中又铸造了3000万USR。在首次铸造后17分钟，USR在Curve最具流动性的池中价格跌至0.025美元。

根本原因：薄弱的访问控制

链上分析师Andrew Hong将此次漏洞归咎于协议中的SERVICE_ROLE，这是一个完成交换请求的特权账户。关键漏洞包括：

单一EOA控制：SERVICE_ROLE由一个标准的外部拥有账户控制，而非多签钱包

无铸币限制：铸币合约没有设定最大铸币额度

无预言机验证：未实施预言机检查以验证价格或抵押支持

缺少金额验证：未对铸币请求与完成之间的金额进行验证

去中心化金融基金D2 Finance提出三种可能的解释：预言机操控、链下签名者被攻破，或铸币请求与完成之间缺乏金额验证。

安全事后分析

Resolv官网宣称已进行五家机构的14次审计，获得50万美元的Immunefi漏洞赏金，并持续监控智能合约。尽管如此，安全专家指出，仍存在“盲点”——敏感密钥和凭证虽不直接持有资金，但可被用来访问资金。

关键管理公司Sodot的CEO Ido Sofer表示：“这与一种日益增长的攻击趋势有关，即攻击者关注安全团队的盲点——敏感密钥和凭证，虽然不直接持有资金，但可以用来访问资金。”

市场影响与用户损失

USR价格崩盘与恢复

USR是一种美元挂钩的稳定币，采用由ETH和BTC支持的Delta中性对冲策略，而非法币储备。首次铸造后17分钟内，USR在Curve上跌至0.025美元，随后恢复至约0.85美元，但尚未恢复其锚定。

流动性与抵押品损失

此次攻击铸造了8000万新代币，稀释了现有供应。攻击者将铸造的USR出售换取USDC、USDT，最终变现为ETH，导致池子流动性崩溃。持有USR的用户在攻击发生时面临即时损失。

此次去锚事件还引发DeFi借贷市场的连锁反应。USR及其质押的衍生品wstUSR被包括Morpho和Gauntlet在内的平台接受为抵押品。据报道，投机交易者在市场折价时购买USR，并以硬编码的1美元估值借出USDC，从而抽干受影响金库的稳定币流动性。

RLP保险层暴露

损失可能还波及Resolv的次级层级——Resolv流动性池（RLP），作为吸收损失的保险层，保护USR持有者。YieldsAndMore指出，RLP在事发前的流通量约为3860万美元。最大RLP持有者为Stream Finance，该协议在2025年11月披露因外部基金经理挪用资产而亏损9300万美元。Stream在Morpho上持有约1360万RLP，代表约1700万美元的净敞口，意味着其存款人可能面临另一轮重大损失。

协议背景与行业环境

Resolv概述

总部位于阿布扎比的Resolv在2025年4月完成了1000万美元的种子轮融资，由Cyber.Fund和Maven11领投，Coinbase Ventures、Arrington Capital和Animoca Ventures参投。通过Delphi Labs孵化，协议提供收益，采用利率套利和USR与风险承担的RLP保险层的双层结构。

在攻击发生前，USR的市值已从2026年2月初的约4亿美元降至约1亿美元。RESOLV治理代币在事件后下跌约8.5%。

2026年DeFi漏洞趋势

Resolv事件是2026年初一系列加密货币漏洞中的一环：

2026年1月：Truebit因五年前部署的智能合约漏洞被攻击，损失2660万美元

2026年1月：Makina Finance因闪电贷预言机操控，损失约500万美元

上周发布的Immunefi报告显示，平均加密黑客事件成本约为2500万美元，2024-2025年五大漏洞占所有被盗资金的62%。

监管背景

此次漏洞发生时正值美国关于收益型稳定币监管的立法辩论热烈，相关法案为GENIUS法案。美国银行家协会警告称，此类产品可能吸引存款流出传统银行。2026年3月20日，关键参议员就稳定币收益处理达成“原则性协议”。

常见问题

Resolv USR漏洞是如何运作的？

攻击者利用Resolv铸币合约中的漏洞，特权角色（SERVICE_ROLE）由单一外部拥有账户控制，没有铸币限制、预言机验证或金额检查。攻击者存入10万USDC，获得了50万万USR（预期的500倍），随后在第二笔交易中又铸造了3000万USR，制造出约8000万未背书的代币。

Resolv是否丢失了抵押支持？

Resolv Labs声称其抵押池“仍然完好无损”，没有“任何基础资产”丢失。然而，这一声明低估了损害，因为此次事件表现为供应膨胀，而非直接盗取抵押资产。80万万新代币稀释了现有USR供应，攻击者的抛售也摧毁了池子流动性，导致USR持有者立即蒙受损失。

这次漏洞的总财务影响是多少？

攻击者提取了约2500万美元，将铸造的USR兑换成11409 ETH（价值约2370万美元），并持有额外价值110万美元的包裹USR代币。USR持有者因供应稀释而受损，接受USR作为抵押的DeFi借贷平台也因去锚事件而出现流动性枯竭，交易者利用价格脱钩借贷，造成资金流失。