20万换近1亿,DeFi稳定币USR再遭黑客攻击致脱锚

北京时间今日10:21左右，一个以Delta中性策略发行稳定币USR的项目——Resolv Labs，遭遇了一次教科书式的精准打击。一个地址为0x04A2开头的攻击者，用区区10万枚USDC，就从协议中铸造出了5000万枚USR。

消息一出，USR应声暴跌至0.25美元附近，虽然截至撰稿时已回升至0.8美元左右，但市场的恐慌已经写在了价格上。项目代币RESOLV也未能幸免，短时最高跌幅接近10%。

然而，这仅仅是第一轮。尝到甜头的黑客随后如法炮制，再次用10万枚USDC铸造了3000万枚USR。随着USR的大幅脱锚，套利交易者蜂拥而至。Morpho上那些以USR、wstUSR作为抵押品的借贷市场几乎被搬空，而BNB Chain上的Lista DAO更是直接暂停了新的借款请求。

波及的远不止这些借贷协议。Resolv Labs的设计中，还有一种名为RLP的代币，它的价格波动更大、收益更高，但代价是需要在协议蒙受损失时承担赔偿责任。目前RLP代币的流通量近3000万枚，其最大持有者Stream Finance就持有超过1300万枚，净风险敞口大约是1700万美元。

没错，这个之前因为xUSD暴雷事件已经“被暴击”过一次的Stream Finance，现在可能要再挨一刀。

截至撰稿时，黑客已将盗取的USR兑换为USDC和USDT，并持续买入以太坊，目前已经购入超过1万枚ETH。用20万枚USDC的成本，撬动了超2000万美元的资产——在熊市里，黑客硬是找到了属于自己的“百倍币”。

又一次因「不严谨」而被钻空子

回顾去年10月的大跌，许多采用Delta中性策略发行稳定币的项目，都因ADL（自动降杠杆）机制而产生了抵押品损失。尤其是一些以山寨币作为执行策略的资产，损失更是惨重，甚至直接跑路。

这次被攻击的Resolv Labs机制类似，项目曾在2025年4月宣布完成由Cyber.Fund和Ma ven11领投、Coinbase Ventures参投的1000万美元种子轮融资，并于5月底6月初上线了代币RESOLV。

但这次出事的根源，并非极端行情，而是铸造USR的机制设计“不够严谨”。

目前还没有安全公司或官方对事件原因给出明确分析。不过，DeFi社区YAM通过初步分析得出了一个结论：攻击很可能是协议后端用于给铸造合约提供参数的SERVICE_ROLE被黑客控制了。

Grok的分析进一步还原了过程。用户铸造USR时，会在链上发起请求并调用合约的requestMint函数，参数包括存入的代币地址、存入数量以及最低期望收到的USR数量（用于防滑点）。之后，用户存入USDC或USDT，项目方后端的SERVICE_ROLE监控请求，通过Pyth预言机检查存入资产的价值，再调用completeMint或completeSwap函数，决定实际铸造的USR数量。

问题就出在这里：铸造合约对SERVICE_ROLE提供的参数_mintAmount深信不疑，认为这个数字是经过链下Pyth验证过的。因此，合约没有设置上限，也没有进行链上的预言机二次验证，直接执行了mint(_mintAmount)。

据此，YAM推测，黑客控制了本应由项目方控制的SERVICE_ROLE（可能是内部预言机失控、监守自盗或密钥被盗），在铸造时直接将_mintAmount设置为5000万，实现了用10万枚USDC铸造5000万枚USR的惊人操作。

Grok最后的结论很直白：Resolv在设计协议时，完全没有考虑用于接收用户铸造请求的地址或合约被黑客控制的可能性。在最终铸造环节，没有最大铸造数额的限制，也没有让铸造合约用链上预言机进行二次验证，就这么毫无保留地信任了SERVICE_ROLE提供的所有参数。就这么简单，却又这么致命。

预防也不到位

除了推测被攻击的原因，YAM也指出了项目方在危机应对方面的不足。

YAM在X上表示，从黑客第一次攻击完成到Resolv Labs暂停协议，过去了整整3个小时。其中大约有1小时的延迟是因为收集多签交易需要4个签名。YAM认为，紧急暂停应该仅需一个签名，且权限应尽可能分配给团队成员或可信的外部运营人员。这样能增加对链上异常情况的关注度，提高快速响应能力，并且更好地覆盖不同时区。

虽然单个签名暂停的建议听起来有些激进，但需要跨越不同时区的多个签名才能暂停协议，在紧急情况下确实可能误事。引入一个可信的、持续监控链上行为的第三方，或者配置拥有紧急暂停协议权限的自动化监控工具，都是这次事件留下的“后事之师”。

黑客对DeFi的攻击，早已不局限于合约漏洞本身。Resolv Labs事件给所有项目方敲响了一记警钟：在协议安全的设计中，默认假设应该是“不能信任任何一环”。所有涉及参数的环节，都必须进行至少一次二次验证——哪怕是你自己运营的后端。