在加密货币市场，稳定币被视为连接传统金融与Web3世界的“桥梁”，其稳定性和安全性至关重要。然而，近日一起针对Resolv的USR稳定币的攻击事件，再次敲响了DeFi安全的警钟。2025年3月22日，攻击者利用Resolv的USR铸造合约中的一个漏洞，铸造了约8000万枚无担保代币，并窃取了约2500万美元的ETH。这一事件导致USR在Curve交易所暴跌至0.025美元，随后价格回升至0.85美元左右，但其与美元的挂钩尚未恢复。这起攻击不仅让USR稳定币脱离黄金锚定，更暴露了复杂DeFi协议的潜在脆弱性，以及在监管真空下，高收益稳定币可能带来的巨大风险。

一、Resolv的USR稳定币脱锚：攻击者铸造8000万枚无担保代币，窃取2500万美元ETH

据多家区块链安全公司称，周日，一名攻击者利用Resolv的USR稳定币铸造合约中的一个漏洞，创建了约8000万个无担保代币，并窃取了约2500万美元。

攻击手法： 攻击始于世界协调时凌晨2点21分左右。X账户YieldsAndMore率先发现了这一事件，并发布了Etherscan交易数据，显示攻击者向Resolv的USR Counter合约存入了10万USDC，并获得了5000万USR作为回报，约为预期数量的500倍。随后，攻击者又通过第二笔交易额外铸造了3000万USR。

USR脱锚暴跌： USR是一种与美元挂钩的稳定币，采用delta中性对冲策略，并以ETH和BTC而非法币储备作为支撑。据DEX Screener数据显示，该代币在首次铸造后的17分钟内，在其流动性最强的Curve Finance资金池中跌至0.025美元。之后价格回升至0.85美元左右，但截至周日上午，其与美元的挂钩尚未恢复。

被盗资产： 攻击者使用一个以0x04A2开头的地址，在去中心化交易所将铸造的USR兑换成USDC和USDT，然后将所得兑换成ETH。根据区块链数据，截至发稿时，攻击者的钱包地址持有11,409个ETH，价值约2370万美元。另一个被确认为属于攻击者的钱包地址持有价值约110万美元的wstUSR代币。

Resolv Labs的回应： Resolv Labs在关于X的声明中表示，已暂停所有协议功能，其抵押池“完全完好无损”，“没有基础资产”损失。该团队称该问题“仅限于USR发行机制”。

二、漏洞原因分析：特权铸币角色与薄弱的访问控制

分析人员发现，该缺陷源于一个由外部所有账户控制的特权铸币角色，该账户没有铸币限制或预言机检查。

访问控制薄弱： 链上分析师Andrew Hong将此次安全漏洞归咎于协议的SERVICE_ROLE角色，这是一个用于完成兑换请求的特权账户。该角色由一个标准的外部账户(EOA)控制，而非多重签名账户。此外，铸币合约缺少预言机检查、数量验证和最大铸币限额。

审计与监控不足： DeFi基金D2 Finance列出了三种可能的解释：预言机被篡改、链下签名者遭到入侵，或者铸币请求与完成之间的金额验证缺失。YieldsAndMore也认同这一分析，并指出Resolv协议的管理机制缺乏与其规模相匹配的安全保障。“仅仅依靠审计是不够的，如果你不实时监控铸币和供应量，在最关键的时刻你就如同盲人一般。”Cyvers的首席执行官Deddy Lavid告诉The Block。

三、USR持有者面临巨额损失：供应膨胀与流动性枯竭

尽管Resolv声称其抵押池“完全完好无损”的说法在技术上是正确的，但这种说法低估了损失。

供应膨胀： 正如链上分析师所指出的，此次攻击采取的是供应膨胀的形式，而非直接窃取抵押资产。新增的8000万枚代币稀释了现有供应量，攻击者的抛售行为彻底摧毁了抵押池的流动性。当时持有USR的任何人都立即遭受了损失。

波及DeFi借贷市场： 去锚定效应也波及到了DeFi借贷市场。USR及其质押衍生品wstUSR被Morpho和Gauntlet等平台接受为抵押品。一些投机交易者可能以折扣价买入USR，并以1美元的固定估值借入USDC，从而耗尽了这些金库中的稳定币流动性。D2 Finance指出，Morpho平台上由Gauntlet管理的金库也受到了影响。

次级份额与连锁反应： 损失可能还会波及Resolv的次级份额。Resolv流动性池（RLP）作为一层保险机制，吸收损失以保护USR持有者，在漏洞利用前的价格下，其流通资金约为3860万美元。据YieldsAndMore报道，Stream在Morpho持有1360万股RLP头寸，净敞口约为1700万美元，这意味着其存款人可能面临另一次重大损失。

市值大幅缩水： 根据CoinMarketCap的数据，USR的市值已从2月初的约4亿美元跌至攻击前的约1亿美元。受此次攻击影响，RESOLV治理代币的价格在过去24小时内下跌了约8.5%。

四、Resolv的背景与Defi黑客攻击的普遍性

Resolv于2025年4月完成1000万美元种子轮融资，由Cyber.Fund和Maven11领投，Coinbase Ventures、Arrington Capital和Animoca Ventures参投，并由Delphi Labs孵化。

审计与漏洞赏金： Resolv的网站宣称其已完成五家公司的14项审计项目，并设立了50万美元的Immunefi漏洞赏金计划，同时还提供持续的智能合约监控服务。

Defi黑客攻击趋势： 此次漏洞利用事件进一步推高了2026年DeFi黑客攻击的数量。Resolv事件是2026年初一系列加密货币攻击事件中的最新一起。今年1月，Truebit因攻击者利用五年前部署的智能合约漏洞而损失了2660万美元。同月，Makina Finance的稳定币池也因攻击者利用闪电贷操纵协议预言机而损失了约500万美元。Immunefi上周发布的一份报告显示，目前加密货币黑客攻击的平均损失约为2500万美元，2024-2025年间损失金额排名前五的攻击事件占所有被盗资金的62%。

五、政策与监管的时机：收益型稳定币的风险

从政策角度来看，时机也颇为耐人寻味，因为美国立法者正在积极讨论如何根据《GENIUS法案》监管收益型稳定币。

银行存款流失风险： 美国银行家协会警告称，此类产品可能会将存款从传统银行转移出去。

监管共识： 几位关键参议员已于上周五就稳定币收益的处理方式达成了“原则性协议”。

结语：

Resolv的USR稳定币在攻击者铸造8000万枚无担保代币并窃取约2500万美元后脱离黄金锚定，再次敲响了DeFi安全的警钟。这起事件不仅揭示了高收益稳定币在复杂合约设计、访问控制和审计方面可能存在的漏洞，更对整个DeFi生态的信任机制提出了严峻挑战。