穩定幣協議 Resolv(Resolv Labs)於 3 月 22 日爆發重大資安事件,其核心穩定幣 USR 因鑄造機制漏洞遭攻擊,價格一度大幅脫鉤,截稿前回升至約 0.84 美元,仍明顯偏離 1 美元錨定水準。
攻擊者用 20 萬美元鑄造五千萬美元流動性
鏈上數據顯示,攻擊者僅動用約 10 萬至 20 萬美元的 USDC,即成功鑄造出規模達數千萬美元的 USR,顯示協議在鑄造流程的驗證機制存在重大缺陷。大量無抵押 USR 在短時間內被釋放至市場,導致價格迅速從 1 美元附近崩跌至最低約 0.25 美元,跌幅超過七成,其後雖出現反彈,但截至目前仍未恢復錨定。
攻擊者在取得 USR 後,迅速透過協議內部與外部流動性池完成多層轉換,將 USR 轉為其他穩定資產,並進一步兌換為 ETH。整體套利過程在極短時間內完成,已實現數百萬美元級別的獲利。此類操作模式在 DeFi 歷史中並不罕見,核心在於利用協議錯誤「印出」無抵押資產,並在市場尚未完全反應前快速套現。
疑似出現鑄造漏洞,Resolv 團隊承認遭到攻擊
Resolv 團隊事後已確認異常並啟動緊急應對,目前相關合約功能包括 mint 與贖回均已暫停。Resolv 過去已接受多家機構審計並設有漏洞賞金計畫,卻仍出現如此關鍵性的邏輯錯誤,突顯出 DeFi 協議即使通過多輪審計,在實際運行環境中仍可能暴露未預期風險。截至目前,USR 價格雖已回升至 0.84 美元附近,但市場流動性與信心仍未完全恢復。
Riba2534 認為,攻擊的關鍵在於協議的 mint(鑄幣)流程出現驗證失效。正常情況下,用戶必須先存入資產(如 USDC),系統確認抵押成立後,才會發行對應數量的 USR。但此次漏洞使得「確認」這一步出現問題,導致系統在尚未真正收到足額資產時,就錯誤地完成鑄幣。
攻擊者首先透過一筆相對小額的資金作為起點,進入協議的鑄幣流程。接著利用合約中「mint 與結算(completeMint / 類似流程)」之間的邏輯缺陷,在同一筆交易或極短時間內重複觸發鑄幣行為。由於系統沒有正確檢查資產是否已實際到位,也沒有設置有效的數量限制與防重入機制,攻擊者得以放大這個流程,最終鑄造出遠超實際抵押的 USR。
這篇文章 穩定幣協議 Resolv 遭遇鑄造攻擊!USR 脫鉤至 0.84 美元 最早出現於 鏈新聞 ABMedia。
