稳定币 USR 闪崩脱钩！Resolv 爆「铸币漏洞」遭骇客卷走 2,500 万美元

综合多家链上资安机构报告，DeFi 协议 Resolv 周日遭受漏洞攻击，骇客以极低成本铸造 8,000 万枚未经抵押的稳定币 USR，迅速抛售后成功套现约 2,500 万美元，不仅引发 USR 币价严重脱钩，更在借贷市场掀起骨牌效应。

这起攻击在 3 月 22 日上午 10 点 21 分左右发生。链上数据显示，骇客当时先是向 Resolv 的智能合约存入 10 万枚 USDC，却得以换回高达 5,000 万枚的 USR，较正常兑换比例足足多出 500 倍。随后，骇客食髓知味，再度透过第二笔交易额外铸造了 3,000 万枚 USR 。

USR from @ResolvLabs is trading at one cent, someone minted 50m USR with $100k USDChttps://t.co/qc8gTLDx7wpic.twitter.com/fXtjZgxzQk

— YAM 🌱 (@yieldsandmore) March 22, 2026

作为一款标榜与美元 1:1 挂钩的稳定币，USR 的运作逻辑并非依赖传统的法定货币储备，而是透过以太币、比特币建立「Delta 中性避险策略（Delta-neutral hedging，借由多空部位对冲以消除价格波动风险）」来维持价值。

根据 DEX Screener 数据，骇客铸造首批代币后，USR 在流动性最深厚的 Curve Finance 资金池中，短短 17 分钟内就暴跌至 0.025 美元，尽管随后一度回升至 0.85 美元附近，但写稿时仍未能恢复 1 美元锚定。

骇客洗钱手法俐落，官方称「抵押池完好无损」惹议

得手后，骇客（钱包地址以 0x04A2 开头）迅速在各大 DEX  将这些凭空铸造的 USR 兑换成 USDC 、 USDT，然后又全数转换为以太币。链上数据显示，骇客钱包内已囤积多达 11,409 枚以太币（价值约 2,370 万美元）。

事件曝光后，Resolv Labs 在社群平台 X 发表声明指出，团队已暂停所有协议功能，强调「抵押池完好无损」、没有丢失任何底层资产，并将这次事故定调为「单纯的 USR 发行机制漏洞」。

We are currently investigating a security incident involving unauthorized minting of USR.

At this stage:

The collateral pool remains fully intact. No underlying assets have been lost.

The issue appears isolated to USR issuance mechanics.

Our immediate priority is to:

1)…

— Resolv Labs (@ResolvLabs) March 22, 2026

权限控管如同虚设

尽管官方试图淡化冲击，资安专家们却不买帐。链上数据分析师 Andrew Hong 指出，攻击破口源于协议中负责处理兑换请求的特权帐户「SERVICE_ROLE」。令人震惊的是，如此关键的权限，竟只由一个普通的外部帐户（EOA，即单一个人钱包）掌控，而非更安全的多重签名帐户。更致命的是，铸币合约也缺乏预言机报价验证、数量检核，甚至连「铸造上限」都并未设定。

DeFi 投资基金 D2 Finance 也列出了 3 种可能的肇因：预言机遭恶意操纵、链下签章者遭入侵，又或是并未在铸币请求与执行之间加入金额验证程序。率先曝光这起事故的 YieldsAndMore 也感叹，以 Resolv 这样具备一定资金规模的协议，核心管理权限竟缺乏最基本的安全护栏。

区块链资安公司 Cyvers 执行长 Deddy Lavid 指出：「这正是稳定币风险真正浮现的地方。光靠定期的合约审计是远远不够的。如果没有实时监控代币铸造与供应量，当危机来临时，团队就如同蒙上双眼般无能为力。」

无妄之灾！无形通膨洗劫散户，骨牌效应冲击借贷市场

尽管 Resolv 官方声称抵押池「完好无损」在技术上是事实，但这种说词显然低估了事件的杀伤力。链上分析师点出，这场攻击并非直接「掏空」金库，而是采取了更隐蔽的「供应通膨」手法。 8,000 万枚凭空出现的新代币，瞬间稀释了原有的流通价值，而骇客倒货砸盘更是直接抽干了流动性资金池。这意味著，事发当下手握 USR 的投资人，资产价值都已在瞬间遭到无情洗劫。

这场风暴更迅速蔓延至其他 DeFi 借贷市场。由于 USR 及其衍生代币被许多借贷平台（如 Morpho 、 Gauntlet）认可为抵押品，投机客见机不可失，纷纷在市场上低价买进 USR，再拿到借贷平台上，利用系统预设「1 USR = 1 美元」的僵化定价，大举借出真金白银的 USDC 。这波「空手套白狼」的操作，直接榨干了借贷金库的流动性。

曾获千万融资与 14 次顶级审计，如今跌落神坛

事实上，在遭遇骇客毒手之前，Resolv 协议的资金规模就已在持续萎缩。 USR 的市值从今年 2 月初的 4 亿美元高点，一路滑落至事发前的 1 亿美元左右。

回顾过去，总部位于阿布达比的 Resolv 曾是资本宠儿，在 2025 年完成 1,000 万美元的种子轮融资，连 Coinbase Ventures 等业界大咖也参与其中。最讽刺的是，Resolv 官网上至今仍高挂著傲人的资安履历：历经 5 家顶级机构共 14 次严格审计、提供高达 50 万美元的抓漏赏金，并号称拥有「24 小时不间断的智能合约监控」。然而，这场 2,500 万美元的血淋淋教训，无疑重重打脸了这些资安防线。