USR 稳定币铸造漏洞引发危机：Resolv 协议遭滥发 8,000 万枚代币并造成巨额损失

Resolv USR 稳定币遭攻击

周日凌晨，一起针对 Resolv 协议的漏洞攻击震动 DeFi 市场。多家区块链安全机构指出，攻击者成功利用 USR 稳定币铸造合约的缺陷，创建约 8,000 万枚未被抵押的 USR 代币，并从市场中提取约 2,500 万美元价值的资产。

攻击事件发生于约 02:21 UTC，最早由链上观察帐号 YieldsAndMore 发现异常交易。

攻击过程：小额存款换取巨量代币

根据链上交易资料显示，攻击者首先将 100,000 USDC 存入 Resolv 的 USR Counter 合约，理论上应该只会得到相对应数量的 USR。

然而实际结果却出现严重异常：

• 第一笔交易铸造 约 5,000 万枚 USR

• 第二笔交易再生成 约 3,000 万枚 USR

整体产量远高于正常比例，约为预期值的 500 倍。

USR 价格迅速崩跌

USR 是一种与美元挂钩的稳定币，其设计并非以法币储备作为抵押，而是采用 ETH 与 BTC 组合搭配 Delta-neutral 对冲策略，但在大量未抵押代币被铸造后，市场价格迅速失控。

市场反应包括：

• 在 Curve Finance 流动性池中

• 价格在 17 分钟内跌至 0.025 美元

（来源：DEXSCREENER）

虽然之后短暂回升至约 0.85 美元，但仍未恢复原本的 1 美元锚定。

攻击者资金流向

攻击者地址以 0x04A2 开头，随后进行了一系列套利操作：

1. 将铸造出的 USR 兑换为 USDC 与 USDT

2. 透过多个去中心化交易所出售

3. 最终将资金转换为 ETH

链上资料显示：

• 主钱包持有 11,409 ETH

• 价值约 2,370 万美元

此外，另一地址仍持有约 110 万美元的 wstUSR。

Resolv 回应：抵押资产未被盗

事件曝光后，Resolv Labs 在社群平台上表示：

• 已暂停所有协议功能

• 抵押资产池仍然完整

• 问题仅出现在 USR 铸造流程

（来源：ResolvLabs）

而分析师指出，虽然抵押资产未被直接盗取，但市场损失仍然十分严重。

权限与验证机制不足

链上分析师 Andrew Hong 指出问题核心在于 SERVICE_ROLE 权限账户，该账户负责处理 swap 请求，但却由一般 EOA 钱包控制，而不是多重签名管理。

同时铸造合约也缺乏多项重要保护措施：

• 没有 Oracle 价格验证

• 未限制铸造数量

• 未检查铸造请求与执行金额

DeFi 投资机构 D2 Finance 提出三种可能原因：

1. 价格 Oracle 被操控

2. 离线签名账户遭入侵

3. 铸造金额验证机制缺失

（来源：D2_Finance）

DeFi 生态连锁影响

USR 的崩跌不只影响持币者，也波及 DeFi 借贷市场。USR 及其质押版本 wstUSR 曾被用作抵押品，例如：Morpho、Gauntlet。

部分交易者利用市场价格低于 1 美元的机会：

• 低价购买 USR

• 以系统固定的 1 美元估值作为抵押

• 借出 USDC

这可能导致借贷池流动性被快速抽走。

保险池与流动性层也可能受损

Resolv 的流动性保护机制为 Resolv Liquidity Pool（RLP），其功能是吸收损失以保护 USR。在攻击发生前 RLP 流通价值约 3,860 万美元，其中最大持有者是收益协议 Stream Finance。该协议曾在 2025 年因资产挪用事件损失 9,300 万美元，如今再次面临潜在冲击。

政策层面的监管压力

这起事件发生之际，美国国会正讨论稳定币相关监管，其中包括 GENIUS Act，该法案将针对收益型稳定币进行规范。American Bankers Association 曾警告，此类产品可能会吸走传统银行存款。

总结

Resolv USR 事件再次提醒市场，稳定币的风险不仅来自抵押资产，也可能源自合约设计与权限管理漏洞。即使底层资产未被直接盗取，供应量膨胀与市场信心崩溃仍可能造成巨大损失。随着 DeFi 市场持续扩张，如何建立更完善的监控、权限管理与风险控制机制，将成为稳定币与链上金融发展的重要课题。