除Resolv被黑外，这种DeFi漏洞类型已出现过四次

marsbitDipublikasikan tanggal 2026-03-24Terakhir diperbarui pada 2026-03-24

Abstrak

在周日早晨的17分钟内，一名攻击者利用Resolv协议漏洞将10万美元变成2500万美元。该漏洞并非代码错误，而是系统设计缺陷：攻击者通过获取Resolv的AWS密钥管理权限，授权自己铸造了8000万枚本应与美元挂钩的稳定币USR，导致其价格暴跌至0.25美元。此次事件引发连锁反应：借贷平台Fluid/Instadapp产生超1000万美元坏账，单日净流出资金超3亿美元，Morpho、Euler等多个协议受影响。核心问题在于，这些平台使用的预言机仍将已脱锚的USR及其衍生品wstUSR硬编码为1美元定价，使得攻击者可在市场上购买低价代币，再以虚高价格抵押借贷并套现。这是过去14个月内第四起类似事件，暴露出DeFi领域反复出现的风险模式：收益型稳定币在借贷市场中依赖静态预言机定价，一旦脱锚即引发系统性风险。Curator（策略管理方）因依赖收益分成而缺乏足够风控动力，协议层也缺乏实时链下监测机制。专家指出，问题不在智能合约本身，而在于更广泛的系统设计与链下基础设施的脆弱性。

在一个安静的周日早晨,有人在约 17 分钟内把 10 万美元变成了 2500 万美元。

目标是收益型稳定币协议 Resolv。在 Resolv 暂停合约之前,其与美元挂钩的稳定币 USR 已跌至几分钱。截至本文写作时,USR 仍严重脱锚,交易价格约为 0.25 美元,本周跌幅超过 70%。

冲击波远不止于 Resolv 本身。Fluid/Instadapp 单日吸收超过 1000 万美元坏账,同日遭遇逾 3 亿美元净流出,创其历史最大单日流出纪录。15 个 Morpho 金库受到波及。Euler、Venus、Lista DAO 和 Inverse Finance 均相继暂停了 USR 相关市场。

导致此次漏洞损失扩散的机制——在借贷市场中将脱锚稳定币按 1 美元定价——并非新鲜事。过去 14 个月内,这种情况至少发生过四次。

漏洞是怎么工作的

USR 的铸造遵循一个两步链下流程:用户通过`requestSwap`函数存入 USDC,一个具有特权的链下签名密钥`SERVICE_ROLE`再通过`completeSwap`最终确定发行的 USR 数量。

合约设有最低输出限制,但没有最高限制。密钥持有者签署什么,合约就执行什么。

攻击者通过 Resolv 的 AWS 密钥管理服务获取了该密钥的访问权限。他们提交了两笔 USDC 存款,总计约 10 万至 20 万美元,然后利用被盗密钥授权铸造了 8000 万枚 USR 作为回报。链上数据显示两笔交易分别为 5000 万 USR 和 3000 万 USR,均在数分钟内完成铸造。

「Resolv USR 漏洞不是一个 bug——而是一个按设计正常运行的功能。这才是问题所在。」链上分析师 Vadim(@zacodil)表示。

SERVICE_ROLE 是一个普通的外部账户地址,不是多签。管理员密钥有多签保护,但铸造密钥没有。

「Resolv 经过了 18 次审计,」Vadim 说,「其中一个发现的名称直接就叫「缺少上限」」。

攻击者有条不紊地退出:先将铸造的 USR 转换为 wstUSR(质押包装版本)以减缓市场冲击,然后通过 Curve、Uniswap 和 KyberSwap 将其兑换为 ETH。攻击者钱包中持有约 11400 枚 ETH(约 2400 万美元)。支撑整个系统的 ETH 和 BTC 抵押品池在稳定币崩溃的同时完好无损。

传染如何扩散

Resolv 漏洞实际上是两起事件叠加在一起。第一起是铸币漏洞,第二起是连锁借贷市场失效。

当 USR 和 wstUSR 崩溃时,每个接受其作为抵押品的借贷市场都面临同一个问题:它们的预言机仍然将 wstUSR 定价在接近 1 美元的位置。

风险分析机构 Chaos Labs 创始人 Omer Goldberg 记录了这一机制。他的核心发现是:「预言机是硬编码的,因此从未重新定价。wstUSR 被标记为 1.13 美元,而在二级市场上的交易价格约为 0.63 美元。」

交易者在公开市场上以低价购入 wstUSR,然后在 Morpho 或 Fluid 上以预言机报价 1.13 美元将其作为抵押品,借出 USDC 后离场。

在 Fluid,团队筹措了短期贷款以覆盖 100% 的坏账,并承诺让每一位用户得到全额赔偿。在 Morpho,联合创始人 Paul Frambot 表示约有 15 个金库存在大量敞口,均处于高风险、长尾抵押品策略中。

知名 curator Gauntlet 表示,「几个高收益金库的敞口有限。」

但 D2 Finance 直接反驳了这一说法,发布链上数据显示 Gauntlet 旗舰「USDC Core 金库」向 wstUSR/USDC 市场配置了 495 万美元。Goldberg 随后表示,Gauntlet 金库在该市场中占贷款方流动性的 98%。

Frambot 在书面回复 The Defiant 时表示:「我们一直在研究如何更全面地呈现各类风险。不过我们不认为这里的核心问题是缺乏标注。」

Frambot 补充道:「Morpho 是预言机无关的,这意味着它允许 curator 选择他们认为最适合特定市场的任何预言机。Morpho 是开放的、无需许可的基础设施,其设计是将风险管理外包给 curator。」

「很难在所有场景下强制推行客观'正确'的护栏,」Frambot 说,「在协议层面施加约束也有阻碍合法策略实施的风险。」

虽然底层协议将风险管理留给了 curator,但业内部分人士认为 curator 并没有尽到职责。

「我认为 curator 行业的设计存在缺陷,因为根本没有真正的策展发生。」Marc Zeller 在 X 上表示。

截至发稿,Resolv、Gauntlet 和 Fluid 均未回应 The Defiant 的置评请求。

一个反复出现的失败模式

这并非新型攻击。2025 年 1 月,Usual Protocol 的 USD0++被 curator MEV Capital 在 Morpho 金库中硬编码为 1 美元。

Usual 随后在没有任何警告的情况下突然将赎回底价调整为 0.87 美元,导致贷款人被锁在 MEV Capital 金库中,该金库利用率飙升至 100%。

2025 年 11 月,Stream Finance 的 xUSD 崩溃,此前 curator 已将 USDC 存款路由进以该合成稳定币为支撑的杠杆循环中,当其预言机拒绝更新时,Morpho、Euler 和 Silo 上估计 2.85 亿至 7 亿美元的资产面临风险。

Moonwell 在 2025 年 10 月和 11 月连续遭遇两次预言机失效,合计产生超过 500 万美元的坏账。

这对 curator 模式意味着什么

Morpho 的架构将所有风险决策外包给第三方「curator」,由他们构建金库、选择抵押品、设定贷款价值比并选择预言机。这套理论认为,专业机构具备更深的专业知识,竞争能带来更好的风险管理,协议负责执行规则。

但 curator 依靠产生的收益率来赚取费用,这形成了一种接受风险更高、收益更高的抵押品(如收益型稳定币)的激励。问题在于,当这些稳定币脱锚时,损失由存款人承担,而不是 curator。

在 Resolv 事件中,一些 curator 的自动化机器人在漏洞发生后数小时内仍在持续向受影响的金库注入资金,加深了损失。

对收益型稳定币采用硬编码预言机的原因,是为了防止短期波动触发不必要的清算。但这种保护只在稳定币保持稳定的情况下才有效。

链上分析机构 Chainalysis 在事后复盘中表示,需要实时的链上检测能力。

「链上智能合约运行完全正常。问题显然出在更广泛的系统设计和链下基础设施上。」该分析机构表示。

Pertanyaan Terkait

QResolv协议被攻击的根本原因是什么？

A根本原因是Resolv协议的设计缺陷：SERVICE_ROLE密钥（用于授权铸造USR稳定币）没有设置铸造上限，且该密钥是普通外部账户而非多签保护。攻击者通过获取该密钥的AWS访问权，授权铸造了远超存款价值的8000万枚USR。

Q为什么USR脱锚会导致其他借贷平台（如Fluid和Morpho）出现坏账？

A因为这些借贷平台的预言机将wstUSR（USR的质押包装版本）硬编码定价为约1.13美元，而实际市场价已暴跌至0.63美元。攻击者利用价差低价购入wstUSR，再以虚高预言机价抵押借出USDC等稳定币，导致平台抵押品价值不足而产生坏账。

Q过去14个月内类似Resolv的漏洞事件发生过哪些？

A至少发生过四次：2025年1月Usual Protocol的USD0++因预言机硬编码1美元定价被利用；2025年11月Stream Finance的xUSD崩溃导致多平台风险暴露；2025年10月和11月Moonwell两次因预言机失效产生超500万美元坏账。

QMorpho协议在风险管理中扮演什么角色？其设计存在哪些争议？

AMorpho将风险决策完全外包给第三方curator（策展人），由他们选择抵押品、设定参数和预言机。争议在于：curator为赚取费用有动机采用高风险高收益资产，但损失由存款人承担；协议层缺乏强制风控措施，且部分curator的自动化系统在漏洞后仍持续注资加剧损失。

Q本次事件对DeFi领域的预言机和curator模式提出了哪些挑战？

A挑战包括：1. 硬编码预言机无法应对资产脱锚极端情况；2. curator激励与风险承担错位（收益归curator，损失归用户）；3. 需实时链上监测能力；4. 协议需在开放性与风控约束间平衡，避免过度依赖外部策展。

Bacaan Terkait

Kraken Berencana Luncurkan Perpetual Futures yang Diatur CFTC untuk Trader Profesional AS

Kraken berencana meluncurkan perpetual futures yang diatur oleh CFTC untuk pedagang profesional AS yang memenuhi syarat, melalui platform Bitnomial yang telah diakuisisi. Produk ini akan terintegrasi ke dalam Kraken Pro, menawarkan kontrak berjangka tanpa tanggal kedaluwarsa dengan pembiayaan reguler, mirip dengan yang mendominasi perdagangan kripto di luar AS. Di AS, produk serupa sulit diakses karena kendala regulasi, sehingga banyak pedagang beralih ke platform luar negeri. Dengan menggunakan struktur Bitnomial yang diatur, Kraken bertujuan menyediakan jalur domestik yang teregulasi bagi pedagang profesional. Fokus utama akan pada likuiditas, persyaratan margin, dan aset yang didukung saat peluncuran. Keberhasilan produk ini dapat membuka jalan bagi lebih banyak opsi perpetual futures teregulasi di pasar AS.

bitcoinist6j yang lalu

Kraken Berencana Luncurkan Perpetual Futures yang Diatur CFTC untuk Trader Profesional AS

bitcoinist6j yang lalu

Debut Wash: Ketua FED yang Paling Paham Crypto Sepanjang Sejarah Akan Datangkan Kejutan atau Teror Bagi Pasar?

**Penampilan Perdana Kevin Warsh: Ketua Fed Paling Paham Crypto, Akan Bawa Kejutan atau Kekhawatiran?** Ketua Federal Reserve yang baru, Kevin Warsh, bersiap untuk konferensi pers kebijakan moneter pertamanya di tengah situasi sulit: inflasi yang bangkit kembali, tekanan pasar untuk menaikkan suku bunga, dan desakan Presiden Trump untuk menurunkan suku bunga. Yang unik, Warsh adalah ketua Fed pertama yang secara terbuka memiliki portofolio investasi tidak langsung yang signifikan di aset kripto dan perusahaan Web3, mencakup berbagai sektor seperti blockchain, DeFi, dan infrastruktur pembayaran. Pemahaman pribadinya tentang teknologi ini berbeda dengan pendahulunya. Analisis kebijakannya berfokus pada dua hal: **sikap hawkish melawan inflasi** yang mungkin berarti lingkungan suku bunga ketat, dan **sikap ramah terhadap aset digital** yang bisa membawa perubahan regulasi dari "pencegahan" menjadi "integrasi dan inovasi". Dampak pada pasar kripto dapat dilihat dari: **pergeseran ekspektasi regulasi** yang lebih mendukung, **penetapan ulang premi risiko** bergantung pada komunikasi kebijakan yang jelas dari Warsh, serta **aliran modal global** yang mungkin mengalir lebih deras ke aset kripto karena legitimasi yang meningkat. Dua skenario utama untuk penampilan perdananya: 1. **Kejutan:** Gabungan sikap kebijakan moneter yang relatif lunak (dovish) dan sinyal ramah kripto dapat memulihkan sentimen pasar. 2. **Kekhawatiran:** Sinyal hawkish yang lebih keras dari perkiraan, seperti isyarat kenaikan suku bunga, dapat memicu tekanan jual di aset berisiko, termasuk kripto. Meski secara etika Warsh telah menjual semua kepemilikannya terkait kripto, pemahaman mendalamnya tentang blockchain diharapkan dapat membentuk kerangka regulasi yang lebih koheren dan mendukung, menjadi infrastruktur penting bagi arus utama aset kripto dalam jangka panjang.

marsbit6j yang lalu

Debut Wash: Ketua FED yang Paling Paham Crypto Sepanjang Sejarah Akan Datangkan Kejutan atau Teror Bagi Pasar?

marsbit6j yang lalu

XRP Ledger Meluncurkan Rebrand XRPLd Dengan Pembaruan Versi 3.2.0

Versi 3.2.0 XRP Ledger telah diluncurkan dengan pembaruan signifikan, termasuk perubahan nama perangkat lunak inti dari "rippled" menjadi "xrpld". Rilis ini berfokus pada peningkatan kinerja jaringan dan efisiensi back-end, seperti pengoptimalan memori yang dapat menghemat hingga 40% penggunaan memori server. Pembaruan utama mencakup peningkatan keamanan untuk modul-modul seperti brankas aset tunggal, protokol pinjaman, dan pertukaran terdesentralisasi. Versi ini juga memperkenalkan pemeriksaan invariant baru untuk memastikan konsistensi buku besar. Fitur baru memungkinkan pengembang dan aplikasi mengambil informasi protokol XRP Ledger tanpa perlu terhubung langsung ke server, memudahkan pengembangan dompet dan explorer blockchain. Peningkatan skalabilitas mencakup ukuran blok yang dapat dikonfigurasi, penyimpanan database yang efisien, dan dukungan opsional untuk TLS/mutual TLS di server gRPC. Selain itu, port peer default diubah menjadi 2459, dan berbagai perbaikan diterapkan untuk Automated Market Makers, Pembayaran, dan Token Multi-Guna. Pemeriksaan invariant transaksi sementara dinonaktifkan untuk kinerja, tanpa mengurangi keamanan.

TheNewsCrypto7j yang lalu

XRP Ledger Meluncurkan Rebrand XRPLd Dengan Pembaruan Versi 3.2.0

TheNewsCrypto7j yang lalu

AGI Bukan Akhir, Makalah Baru DeepMind: Menuju ASI, Kemajuan AI yang Sesungguhnya Baru Dimulai

Jika Kecerdasan Buatan Umum (AGI) tercapai, apakah itu titik akhir? Tim Google DeepMind dalam laporan terbarunya berpendapat bahwa AGI **bukanlah akhir perjalanan**. AI diprediksi akan terus berkembang melampaui kemampuan tim ahli manusia terbaik, menuju Superintelligence (ASI). Laporan ini membedakan tiga konsep: AGI (kecerdasan setara manusia rata-rata), ASI (melampaui manusia di hampir semua bidang), dan UAI (batas teoretis maksimal). Transisi dari AGI ke ASI dapat melalui empat jalur potensial: 1. **Ekspansi Lanjutan**: Meningkatkan skala komputasi, model, dan data. 2. **Inovasi Algoritma**: Penyempurnaan paradigma yang ada atau pergeseran paradigma baru. 3. **Peningkatan Diri Secara Rekursif**: AI yang lebih kuat membantu mengembangkan generasi AI berikutnya yang lebih kuat. 4. **Koordinasi Multi-Agen**: Kecerdasan kolektif dari banyak sistem AGI yang berkolaborasi. Namun, terdapat enam kemacetan potensial: dinding data, tekanan sumber daya ekonomi & alam, batasan paradigma jaringan saraf saat ini, meningkatnya kesulitan penelitian, hambatan abstraksi, serta tantangan regulasi dan penerimaan sosial. Laporan ini juga menyoroti bahwa jika AI melampaui manusia, sistem evaluasi (benchmark) yang ada menjadi tidak relevan. Diperlukan kerangka pengukuran baru, seperti tugas kolaborasi/kompetisi multi-agen, pengujian yang dihasilkan otomatis, atau indikator tidak langsung seperti produktivitas ekonomi. ASI bukanlah sistem ajaib yang mahatahu; perkembangannya tetap dibatasi oleh hukum fisika, kompleksitas komputasi, data, sumber daya, dan umpan balik dunia nyata. Arah dan kecepatan kemajuan AI masih penuh ketidakpastian, sehingga memerlukan penelitian, prediksi, dan mekanisme evaluasi yang terus diperbarui.

marsbit8j yang lalu

AGI Bukan Akhir, Makalah Baru DeepMind: Menuju ASI, Kemajuan AI yang Sesungguhnya Baru Dimulai

marsbit8j yang lalu

Kraken Luncurkan Pre-IPO Perps Untuk OpenAI Dan Anthropic Dengan Leverage Hingga 5x

Kraken meluncurkan kontrak futures perpetual pra-IPO untuk dua perusahaan kecerdasan buatan swasta terkemuka, OpenAI dan Anthropic. Kontrak derivatif ini memungkinkan pedagang yang memenuhi syarat untuk mengambil posisi long atau short pada kedua perusahaan sebelum pencatatan publik, dengan leverage hingga 5x. Produk ini menawarkan eksposur sintetis ke perusahaan swasta yang biasanya hanya dapat diakses oleh investor institusional atau di pasar sekunder terbatas. Peluncurannya menunjukkan perluasan platform derivatif kripto ke aset di luar token digital, termasuk narasi pasar privat. Namun, futures perpetual pra-IPO membawa risiko unik. Harga perusahaan privat tidak transparan dan bergantung pada putaran pendanaan, transaksi sekunder, serta ekspektasi waktu IPO. Leverage dapat memperbesar keuntungan, tetapi juga meningkatkan risiko kerugian dan likuidasi. Pedagang disarankan memahami benar sifat aset dasar dan risikonya sebelum berpartisipasi.

bitcoinist8j yang lalu

Kraken Luncurkan Pre-IPO Perps Untuk OpenAI Dan Anthropic Dengan Leverage Hingga 5x

bitcoinist8j yang lalu

Trading

Spot

Futures

Artikel Populer

Cara Membeli RESOLV

Selamat datang di HTX.com! Kami telah membuat pembelian Resolv (RESOLV) menjadi mudah dan nyaman. Ikuti panduan langkah demi langkah kami untuk memulai perjalanan kripto Anda.Langkah 1: Buat Akun HTX AndaGunakan alamat email atau nomor ponsel Anda untuk mendaftar akun gratis di HTX. Rasakan perjalanan pendaftaran yang mudah dan buka semua fitur.Dapatkan Akun SayaLangkah 2: Buka Beli Kripto, lalu Pilih Metode Pembayaran AndaKartu Kredit/Debit: Gunakan Visa atau Mastercard Anda untuk membeli Resolv (RESOLV) secara instan.Saldo: Gunakan dana dari saldo akun HTX Anda untuk melakukan trading dengan lancar.Pihak Ketiga: Kami telah menambahkan metode pembayaran populer seperti Google Pay dan Apple Pay untuk meningkatkan kenyamanan.P2P: Lakukan trading langsung dengan pengguna lain di HTX.Over-the-Counter (OTC): Kami menawarkan layanan yang dibuat khusus dan kurs yang kompetitif bagi para trader.Langkah 3: Simpan Resolv (RESOLV) AndaSetelah melakukan pembelian, simpan Resolv (RESOLV) di akun HTX Anda. Selain itu, Anda dapat mengirimkannya ke tempat lain melalui transfer blockchain atau menggunakannya untuk memperdagangkan mata uang kripto lainnya.Langkah 4: Lakukan trading Resolv (RESOLV)Lakukan trading Resolv (RESOLV) dengan mudah di pasar spot HTX. Cukup akses akun Anda, pilih pasangan perdagangan, jalankan trading, lalu pantau secara real-time. Kami menawarkan pengalaman yang ramah pengguna baik untuk pemula maupun trader berpengalaman.

443 Total TayanganDipublikasikan pada 2025.06.11Diperbarui pada 2026.06.02

Diskusi

Selamat datang di Komunitas HTX. Di sini, Anda bisa terus mendapatkan informasi terbaru tentang perkembangan platform terkini dan mendapatkan akses ke wawasan pasar profesional. Pendapat pengguna mengenai harga RESOLV (RESOLV) disajikan di bawah ini.