Bear Market "Classic Script" Replayed Again, Postmortem of Resolv Labs Being "Flash Liquidated" and USR Depegging Event

撰文：Glendon，Techub News

3 月 22 日，專注於開發去中心化生息穩定幣的 DeFi 協議開發商 Resolv Labs 突遭黑客攻擊。鏈上數據顯示，以「0 x04 A2」開頭的攻擊者地址僅存入 10 萬枚 USDC，便利用協議漏洞鑄造出 5000 萬枚 USR 穩定幣。隨後，該攻擊者故技重施，用另外的 10 萬枚 USDC 鑄造了 3000 萬枚 USR。在此期間，Resolv Labs 官方發推確認協議遭到攻擊，稱團隊已暫停所有協議功能並正在進行恢復工作。

然而，一切為時已晚。總計 8000 萬枚無任何資產背書的 USR 早已快速湧入市場，導致穩定幣 USR 迅速脫錨。同時，因市場流動性枯竭，交易執行過程中出現嚴重滑點，進一步加劇了 USR 的下跌。CoinMarketCap 數據顯示，USR 一度脫錨至約 0.06 美元，跌幅超過 94%（目前 USR 回升至約 0.32 美元，依舊處於「嚴重脫錨」狀態）。值得注意的是，攻擊者的套現路徑清晰且迅速，整個過程在數小時內便已完成。其將非法鑄造的 USR 轉換為 wstUSR 後，在 Curve、Uniswap 等去中心化交易所進行大量拋售，兌換為 USDC 和 USDT，隨後又將這些穩定幣兌換為價值約 2500 萬美元的以太坊，最終成功實現了一場將攻擊收益洗白的「閃電式劫掠」。

在當前本就低迷的市場環境中，Resolv Labs 遭受攻擊無疑又一次打擊了行業信心，甚至被加密社區稱為熊市「經典劇本」的再次上演。而其被攻擊的原因，依舊是那個老生常談的「鑄幣機制設計問題」。

漏洞溯源：鑄幣機制的三重失守

首要要明確的是，Resolv 的穩定幣系統採用的是雙層結構設計。USR 是一種 1:1 錨定美元的穩定幣，使用者可通過存入 ETH 或 BTC 鑄造 USR，其採用 Delta 中性策略，允許協議為持有的 ETH/BTC 開設等值空頭永續頭寸，以此抵消價格波動風險，進而使 USR 保持穩定。而 USR 持有者可以獲得協議產生的部分收益，且可在 Pendle、Sommelier 等 DeFi 協議中進一步參與收益聚合。

同時，Resolv 引入了 Resolv Liquidity Provider Token（RLP）充當系統的「保險池」，用於吸收對沖策略中如清算、滑點、資金費率波動等潛在虧損。在此次攻擊過程中，RLP 未能幸免。據 coingecko 數據，RLP 價格也從 1.38 美元下跌至 0.23 美元，跌幅超 83%。目前，RLP 已回升至 0.98 美元。

那麼，Resolv Labs 是如何遭受黑客攻擊的？綜合安全公司 PeckShield 和多位鏈上分析師分析，Resolv Labs 黑客攻擊事件的根本原因在於其鑄幣合約的權限控制與校驗機制存在嚴重設計缺陷。其一，是權限控制的致命漏洞。在正常流程中，用戶鑄造 USR 需存入相應抵押品，且鑄幣數量應與抵押品價值 1:1 振鉅，但攻擊者利用 SERVICE_ROLE 權限，繞過了抵押品價值校驗環節，直接將鑄幣數量設置為一個天文數字，從而實現了用 20 萬美元 USDC 鑄造 8000 萬枚 USR 的「超高槓桿」操作。

這一設計缺陷在於，SERVICE_ROLE 擁有直接決定鑄幣數量的權力，屬於「超級權限」。由於協議並未採用多簽或去中心化簽名者網絡，而是依賴單一或少數簽名者，從而使得一旦密鑰洩露或被攻破，系統即刻便會失守。

其二，鏈上金額校驗機制的缺失堪稱重大安全隱患。Resolv Labs 鑄幣合約完全信任鏈下簽名者提供的鑄幣數量，既未在鏈上設置金額上限（如單筆最大 100 萬 USR），也未引入預言機對抵押品價值和鑄幣數量進行實時比對驗證。這意味著只要攻擊者控制了鏈下簽名者或獲取了相應權限，就能隨意鑄造 USR，而無需考慮抵押品是否充足。正是這種缺乏校驗的模式，為此次黑客攻擊打開了方便之門。

其三，則是 Delta 中性策略的潛在風險。Resolv Labs 採用 Delta 中性策略發行 USR，但該事件也揭示了這種策略的設計弱點。Delta 中性策略使得協議的鑄幣邏輯與鏈下簽名、預言機深度耦合，而這些耦合點恰恰成為了系統最脆弱的攻擊面，一旦鏈下簽名者或預言機出現問題，整個鑄幣機制就可能陷入混亂。

今日凌晨，Resolv Labs 官方終於發文闡述了攻擊事件的發生原因。本次事件源於未經授權的第三方行為，包括針對性基礎設施入侵及網絡攻擊。攻擊者正是通過泄露的私鑰非法訪問了 Resolv 的基礎設施，導致約 8000 萬美元的無抵押 USR 被非法鑄造。

同時，Resolv Labs 披露，攻擊者持有的約 900 萬枚 USR 已被成功銷毀。目前，USR 供應量包括 1.02 億枚事件發生前就已存在的 USR 和約 7100 萬枚新鑄造的非法代幣。為盡可能挽回損失、恢復正常秩序，他們正準備今日啟用攻擊發生前 USR 的贖回功能，且將從已列入白名單的用戶開始。並再次強調，Resolv 的底層抵押資產未直接受到影響，正在追蹤並試圖控制非法鑄造的 USR 及其他受影響資產。

此舉是 Resolv Labs 對早期用戶的初步補救措施，可以看出該公司正在努力減輕損失，並追回損失的資金。但是，這一事件已經對行業造成了連鎖反應。

連鎖反應與啟示

Resolv Labs 事件最直接的影響無疑是 USR 嚴重脫錨和 Resolv Labs 原生代幣 RESOLV 價格下跌。RESOLV 一度跌超 16% 至 0.052 美元。此外，便是諸多 DeFi 協議受到波及。Curve Finance 上 USR/USDC 流動性池瞬間崩潰；Morpho 借貸市場中支持 USR、wstUSR 作為抵押品的借貸市場幾乎被清空，大量用戶因 USR 脫錨而面臨強制平倉風險。

不過，Morpho 聯合創始人 Paul Frambot 今日發推表示，Resolv Labs 攻擊事件對 Morpho 產生的影響並沒有傳言那麼大。該事件主要影響了 USR 和相關資產（如 RPL），以及以這些資產作為抵押品的貸款市場。在約 500 個存款額超 1 萬美元的 Morpho 金庫中，約有 15 個金庫對受影響市場的風險敞口較大（超 1 萬美元）。

另外，儘管其他與 Resolv 集成的協議或生態夥伴並未遭受重大衝擊，也不得不被迫採取緊急措施，以保護自身用戶。例如，DeFi 風險管理協議 Gauntlet 強調，Gauntlet USD Alpha 不持有 USR 或 RLP 頭寸，其平台上的金庫不受影響，資金提供者也不會受到影響，並且表示正在與 Resolv 商討解決方案，對於剩餘款項，Gauntlet 正在制定補償方案。

DeFi 協議 Fluid 表示，其團隊已獲短期貸款，可覆蓋協議中目前所有不良債務，以確保用戶資金安全等。Aave 創始人 Stani.eth 也發推表態，其協議無 Resolv Labs 穩定幣 USR 敞口，Resolv 僅作為流動性提供方將其支持資產供應給 Aave 協議，相關資產目前均保持安全。而其他將 USR 作為生息資產進行收益聚合的協議（如 Pendle、Sommelier），儘管未直接損失資金，其相關池子的收益率和資產價值也受到間接影響。

這再次揭示了 DeFi 生態中一個殘酷的現實：一個協議的失敗可能引發多個協議的「連鎖崩潰」，尤其是當某個資產被廣泛用作抵押品時。而即使這些協議自身未被攻擊，也會因關聯項目的風險事件而遭受聲譽和業務上的連帶傷害。

除此以外，在事件發生期間，攻擊者將非法鑄造的 8000 萬枚 USR 分批拋售至 Curve、Uniswap 等 DEX 的 USR/USDC 流動性池時，也導致了價格劇烈波動。由於 USR 價值崩盤，流動性提供者不僅面臨「無常損失」，還因為最終持有的資產幾乎全部為脫錨的 USR，造成實質性資本損失。這一現象也暴露了新興資產流動性池（交易量較小或深度不足）的結構性弱點，缺乏足夠的交易深度來吸收巨量拋壓，導致價格瞬間失真和系統性風險迅速擴散。

從更廣泛的角度來看，Resolv Labs 事件絕非單一項目的安全失守那麼簡單，它更是對加密市場投資者信心的又一次沉重打擊，可能觸發新一輪的穩定幣信任危機。穩定幣作為 DeFi 活動的基礎，其脫錨和安全問題往往會動搖了整個生態的穩定性根基，讓市場對「算法穩定幣」和「生息穩定幣」的長期可行性產生更深的懷疑。甚至可能導致部分風險厭惡型投資者開始從高風險 DeFi 協議中撤資，轉向更成熟的資產或避險策略。

該事件無疑為整個行業敲響了警鐘，尤其在當前加密市場仍處於熊市週期、風險偏好普遍低迷的背景下，其警示意義被進一步放大。Resolv 再次暴露出的「過度依賴鏈下簽名者且無鏈上校驗」的問題，這被業內認為是「信任模型的崩潰」。同時，它也啟示更多協議應該採用多簽機制分散權限、引入 Chainlink、Pyth 等去中心化預言機網絡實現鏈上實時校驗，同時嵌入自動化熔斷機制，以增強系統的安全性和抗風險能力。

此外，在應急響應方面，從昨日 10 時到 12 點時，Resolv 團隊在攻擊發生兩個多小時後才暫停協議，充分暴露了其應急流程的遲緩。此次事件後，項目方應當更重視建立快速、自動化的危機響應系統。

結語

截至撰稿時，Resolv Labs 仍未公布全面賠償方案。對於在攻擊發生後仍持有 USR 或因脫錨而遭受損失的用戶，以及 RLP 代幣持有者因保險池價值稀釋所造成的損失，目前尚未有明確的賠償計劃公布。市場也正在密切關注其後續是否會對受損用戶群體提供進一步補償。

這場攻擊事件不禁讓人思考，DeFi 的「去中心化」究竟是技術架構的革命，還是信任模式的重構？當創新與安全的天平失衡，或許只有回歸「最小信任」的底層邏輯，才能在效率與風險間找到可持續的平衡點。