湖南
Resolv協議遭攻擊:攻擊者以20萬美元鑄造8000萬無背書USR,已大量兌換為ETH,剩余USR價值僅204萬美元事件背景Resolv Labs是一家DeFi穩定幣發行平臺,主要通過delta-neutral(Delta中性)策略(基于ETH和BTC)發行錨定1美元的穩定幣USR,旨在為用戶提供高收益。USR此前穩定運行并維持美元掛鉤,但3月22日(北京時間)協議在更新過程中出現嚴重漏洞,導致攻擊者成功利用鑄幣機制。來龍去脈:攻擊全過程據鏈上分析師Yu Jin、PeckShield以及Onchain Lens等監測:
- 鑄幣階段(約北京時間3月22日10:21)攻擊者(地址以0x04A2開頭)分兩步操作:
- 先存入約10萬美元USDC,通過USR Counter合約的requestSwap和completeSwap函數(或利用SERVICE_ROLE權限漏洞,缺乏金額校驗/預言機驗證),鑄造約5000萬USR(實際應為1:1或有限比例,卻實現了約500倍杠桿)。
- 隨后復制操作,再用約10萬美元USDC鑄造3000萬USR。總計僅用20萬美元USDC,就無背書鑄造了8000萬USR(名義價值8000萬美元)。PeckShield確認兩筆鑄幣交易,總額達80M USR。
- 脫錨與拋售階段海量無背書USR瞬間涌入市場,導致USR在Curve、Uniswap、KyberSwap等DEX上暴跌:從1美元瞬間跌至0.025美元(部分池子最低0.01美元),最大跌幅超97%。隨后部分回升至約0.8美元,但仍嚴重脫錨。攻擊者將USR轉為wstUSR后,快速在DEX拋售換成USDC/USDT(因滑點損失巨大,僅套現約2300-2500萬美元真實價值)。期間,Morpho借貸市場(支持USR/wstUSR抵押)幾乎被清空,Lista DAO(BNB Chain)緊急暫停新貸款。
- 兌換ETH階段攻擊者將換得的穩定幣大量買入ETH。鏈上數據顯示:
- 已購買約11,437 ETH(價值約2384萬美元)。
- 早期階段已購9111 ETH,后續繼續買入。據PANews最新跟蹤(3月22日),攻擊者已將**8000萬USR中的大部分(約4326萬)**兌換為USDC/USDT并買入ETH,剩余USR(約3674萬枚)因價格崩盤(跌幅88%),當前市值僅剩204萬美元。
整個過程僅用數小時完成,攻擊者通過滑點和脫錨“低價”變現,實際獲利約2500萬美元(轉為ETH)。結果與影響
- 協議狀態:Resolv Labs官方在X平臺確認:“Resolv遭遇攻擊,攻擊者鑄造了5000萬無背書USR。團隊已暫停所有協議功能,防止進一步惡意行為,目前正積極恢復中。”后續更新稱:抵押資產池完整,無核心資產損失,問題僅限于USR發行機制,調查仍在進行。協議目前處于完全暫停狀態,用戶無法鑄幣/贖回。
- USR現狀:仍嚴重脫錨(當前價格遠低于1美元),剩余未拋售USR市值僅204萬美元。攻擊者持有的ETH已成為其主要戰利品。
- 生態連鎖反應:多個集成協議受波及(借貸市場清空、暫停);Curve等LP遭受重創;RESOLV代幣也短暫下跌近10%。
- 損失承擔:攻擊者獲利約2500萬美元。誰最終買單尚不明確(可能是RLP保險池、LP或用戶)。團隊強調“抵押充足”,但脫錨已造成實際損失,恢復計劃細節未公布。
此事件再次暴露DeFi鑄幣合約審計的脆弱性,尤其在權限控制、金額校驗和預言機環節。Resolv Labs正全力調查漏洞根源(可能為內部權限泄露或合約邏輯錯誤),社區密切關注后續追責與補償方案。攻擊者資金已轉為ETH,追蹤難度增加。截至目前(3月23日),事件仍在發酵,建議USR持有人、流動性提供者及相關協議用戶密切關注官方更新。DeFi安全風險再次敲響警鐘。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
