Resolv 的 USR 穩定幣遭攻擊失守錨定：黑客鑄造 8,000 萬枚無抵押代幣，套走約 2,500 萬美元 ETH

加密市場一直把穩定幣視為連接傳統金融與 Web3 的關鍵「橋樑」，一旦穩定性或安全性出現裂縫，衝擊往往會沿 DeFi 生態迅速擴散。Resolv 的 USR 近日遭到合約攻擊，為 DeFi 風險再度敲響警鐘。 區塊鏈安全機構指，2025 年 3 月 22 日有攻擊者利用 Resolv 的 USR 鑄造（mint）合約漏洞，鑄造約 8,000 萬枚無抵押（unsponsored）USR，並將套現所得兌換成 ETH，涉款約 2,500 萬美元。事件令 USR 在 Curve 最主要的流動性池中一度插水至 0.025 美元，其後反彈至約 0.85 美元，但截至周日早上仍未恢復與美元 1:1 的錨定。 攻擊過程方面，多方鏈上追蹤顯示事件約於 02:21 UTC 開始。X 帳號 YieldsAndMore 率先披露 Etherscan 交易紀錄：攻擊者向 Resolv 的 USR Counter 合約存入 100,000 USDC，卻換得 5,000 萬枚 USR，約為合理數量的 500 倍；其後再透過第二筆交易額外鑄造 3,000 萬枚 USR。 USR 主打美元穩定幣定位，採用 delta-neutral 對沖策略，抵押資產以 ETH 與 BTC 為主，而非傳統法幣儲備。DEX Screener 數據顯示，首輪異常鑄造後 17 分鐘內，USR 在 Curve 池價位急挫至 0.025 美元。其後雖回升至約 0.85 美元，美元錨定仍未修復。 資金流向方面，攻擊者使用以 0x04A2 開首的地址，把鑄造所得 USR 在去中心化交易所兌換成 USDC、USDT，再轉換為 ETH。鏈上資料顯示，截至發稿時該錢包持有 11,409 ETH，市值約 2,370 萬美元；另有一個確認屬於攻擊者的錢包持有約 110 萬美元的 wstUSR 代幣。 Resolv Labs 在 X 發文回應稱，已暫停協議所有功能，抵押品池「完全完整」，「底層資產沒有損失」，並指問題「僅限於 USR 發行機制」。 漏洞成因方面，分析人士把矛頭指向具特權的鑄造角色與薄弱的存取控制。鏈上分析師 Andrew Hong 指出，協議的 SERVICE_ROLE 用於處理 swap 請求，該特權帳戶由一般外部擁有帳戶（EOA）控制，而非多簽錢包；同時鑄造合約欠缺預言機（oracle）檢查、數量驗證及最高鑄造上限。 D2 Finance（DeFi 基金）提出三種可能：預言機被操控、鏈下簽署者被入侵、或鑄造請求與完成之間欠缺金額驗證。YieldsAndMore 亦認同相關判斷，指 Resolv 的治理與安全措施未能匹配其體量。Cyvers 行政總裁 Deddy Lavid 向 The Block 表示：「只靠審計並不足夠——如果不能即時監控鑄造與供應量，最關鍵時刻會變成盲點。」 市場損失方面，即使 Resolv 所稱「抵押池完整」在技術上成立，仍不足以反映持幣者承受的實際傷害。今次更像是「供應量通脹」：額外 8,000 萬枚新代幣攤薄既有供應，配合拋售直接摧毀池內流動性，事件發生時仍持有 USR 的用戶即時錄得損失。 去錨定亦波及 DeFi 借貸市場。USR 及其質押衍生品 wstUSR 曾被 Morpho、Gauntlet 等平台接納為抵押品；部分投機者或在折讓價吸納 USR，按 1 美元估值借出 USDC，進一步抽走相關金庫的穩定幣流動性。D2 Finance 指出，由 Gauntlet 管理的 Morpho 金庫亦受影響。 連帶損失或擴散至 Resolv 的次級股份機制。作為吸收損失、保護 USR 持有人而設的 Resolv Liquidity Pool（RLP），在漏洞發生前按當時價格約有 3,860 萬美元流通資金。YieldsAndMore 稱 Stream 持有 1,360 萬股 RLP，淨風險敞口約 1,700 萬美元，意味其存款人或再面臨一輪重大損失。 市值方面，CoinMarketCap 數據顯示，USR 市值已由 2 月初約 4 億美元，下滑至攻擊前約 1 億美元。受事件拖累，RESOLV 治理代幣在過去 24 小時下跌約 8.5%。 公司背景方面，Resolv 於 2025 年 4 月完成 1,000 萬美元種子輪融資，由 Cyber.Fund 與 Maven11 領投，Coinbase Ventures、Arrington Capital、Animoca Ventures 參投，並由 Delphi Labs 孵化。其官網稱已完成 5 家公司合共 14 個審計項目，設立 500,000 美元的 Immunefi 漏洞賞金計劃，並提供持續智能合約監控服務。 宏觀環境上，事件亦令外界關注 2026 年 DeFi 盜竊潮的延續。報道指出，Resolv 只是 2026 年初一連串加密攻擊的最新個案：1 月 Truebit 因利用一個 5 年前部署的合約漏洞而損失 2,660 萬美元；同月 Makina Finance 的穩定幣池亦因攻擊者利用閃電貸操控預言機而損失約 500 萬美元。Immunefi 上周發布報告稱，目前每宗加密黑客事件平均損失約 2,500 萬美元，而 2024 至 2025 年間金額最高的五宗攻擊佔所有被盜資金的 62%。 監管層面亦值得留意。美國國會正就 GENIUS Act 下如何規管「收益型穩定幣」（yield-bearing stablecoins）展開辯論。美國銀行家協會警告，此類產品可能把存款從傳統銀行體系分流。上周五，多名關鍵參議員就穩定幣收益處理方式達成「原則性共識」。 整體而言，USR 因鑄造機制遭濫用而失守錨定，突顯高收益穩定幣在合約設計、權限控制與監控治理上的脆弱環節，也對 DeFi 生態的信任機制帶來新一輪考驗。