用 20 万换出近 1 个亿，DeFi 稳定币再遭攻击

marsbit发布于2026-03-22更新于2026-03-22

文章摘要

Resolv Labs 发行的稳定币 USR 遭黑客攻击，攻击者通过控制协议后端的 SERVICE_ROLE 权限，用 20 万枚 USDC 恶意铸造了近 8000 万枚 USR，导致 USR 价格一度跌至 0.25 美元。黑客随后将 USR 兑换为 USDC、USDT 并买入超 1 万枚 ETH，获利超 2000 万美元。事件原因在于协议在铸造 USR 时完全信任后端提供的参数，未设置铸造上限且未进行链上预言机二次验证。此外，协议暂停机制存在缺陷，需多签且耗时较长，延误了应对时机。此次事件再次警示 DeFi 项目需加强权限管理和紧急响应能力，并对所有关键环节进行多重验证。

撰文:Eric,Foresight News

北京时间今日 10:21 左右,利用 Delta 中性策略发行稳定币 USR 的 Resolv Labs 遭到黑客攻击。0x04A2 开头的地址用 10 万枚 USDC 从 Resolv Labs 协议中铸造出了 5000 万枚 USR。

随着事件曝光,USR 应声跌至 0.25 美元附近,截至撰文时回升至 0.8 美元左右。RESOLV 代币价格短时最高跌幅也接近 10%。

之后黑客如法炮制再次用 10 万枚 USDC 铸造了 3000 万枚 USR。随着 USR 的大幅脱锚,套利交易者也快速行动,Morpho 上支持以 USR、wstUSR 等作为抵押品的很多借贷市场已几乎被掏空,BNB Chain 上的 Lista DAO 也暂停了新的借款请求。

受到影响的还不止这些借贷协议。Resolv Labs 协议设计中,用户还可以铸造一种价格波动更大,收益也更高,但需要在协议收到损失时承担赔偿责任的 RLP 代币。目前 RLP 代币的流通量近 3000 万枚,最大持有者 Stream Finance 持有超 1300 万枚 RLP,净风险敞口大约为 1700 万美元。

没错,之前因为 xUSD 暴雷了一次的 Stream Finance 可能要再次被暴击。

截至撰文时,黑客已将 USR 转换为 USDC 和 USDT,并持续买入以太坊,目前已经买入超 1 万枚。用 20 万枚 USDC 套出了超 2000 万美元的资产,黑客在熊市期间找到了属于 TA 的「百倍币」。

又一次因「不严谨」而被钻空子

去年 10 月 11 日的大跌,使得很多使用 Delta 中性策略发行的稳定币都因为 ADL(自动降杠杆)而产生了抵押品损失。部分以山寨币作为执行策略的资产的项目损失更为惨重甚至直接跑路。

这一次遭到攻击的 Resolv Labs 也是利用类似的机制发行 USR,该项目曾在 2025 年 4 月宣布完成了 Cyber.Fund 和 Maven11 领投,Coinbase Ventures 参投的 1000 万美元种子轮融资,并于 5 月底 6 月初上线了代币 RESOLV。

但 Resolv Labs 被攻击的原因并非极端行情,而是铸造 USR 的机制设计「不够严谨」。

目前还没有安全公司或者官方对此次黑客事件发生的原因进行分析。DeFi 社区 YAM 通过分析初步得出了结论:攻击很可能是协议后端用于给铸造合约提供参数的 SERVICE_ROLE 被黑客控制导致。

据 Grok 分析,用户铸造 USR 时会在链上发起请求,并调用合约的 requestMint 函数,参数包括:

_depositTokenAddress:存入的代币地址;

_amount:存入数量;

_minMintAmount:最低期望收到的 USR 数量(防滑点)。

之后,用户将 USDC 或 USDT 存入合约,项目方后端 SERVICE_ROLE 监控请求,使用 Pyth 预言机检查存入资产的价值,之后调用 completeMint 或 completeSwap 函数,决定实际铸造的 USR 数量。

问题就出在,铸造合约完全信任 SERVICE_ROLE 提供的 _mintAmount,认为该数字是在链下由 Pyth 验证过的,所以没有设置上限限制,也没有链上的预言机验证,直接执行了 mint(_mintAmount)。

据此,YAM 怀疑黑客控制了本应由项目方控制的 SERVICE_ROLE(可能是由于内部预言机失控、监守自盗或者密钥被盗),在铸造时直接将 _mintAmount 设置为 5000 万,实现了用 10 万枚 USDC 铸造 5000 万枚 USR 的攻击事件。

归根结底,Grok 给出的结论是,Resolv 在设计协议时并未考虑用于接收用户铸造请求的地址(或合约)会被黑客控制的可能性,在铸造 USR 的请求提交给最后铸造 USR 的合约时,没有设置最大铸造数额,也没有让铸造合约用链上预言机进行二次验证,就直接信任了 SERVICE_ROLE 提供的所有参数。

预防也不到位

除了推测被黑的原因,YAM 也指出了项目方在应对危机方面的准备不足。

YAM 在 X 上表示,Resolv Labs 在黑客第一次攻击完成后的 3 个小时才暂停了协议,其中有大约 1 小时的延迟是来自于收集多签交易需要的 4 个签名。YAM 认为,紧急暂停应该只需一个签名,且权限应该尽可能分配给团队成员,或者可信的外部运营人员,这样可以增加对链上异常情况的关注度,提高快速暂停的可能性,并更好地覆盖不同时区。

虽然只需单个签名就可以暂停协议的建议有些激进,但需要跨不同时区的多个签名才能暂停协议确实在紧急情况发生时可能会耽误大事。引入可信的、持续监控链上行为的第三方,或者使用有紧急暂停协议权限的监控工具,都是这次事件带来的「后事之师」。

黑客对 DeFi 协议的攻击早就已经不限于合约漏洞,Resolv Labs 的事件给项目方的警示在于:在协议安全方面的假设应该是不能信任其中任何一环,所有涉及参数的环节都必须至少进行二次验证,即使是项目方自己运营的后端也不例外。

你可能也喜欢

比特币已实现市值回升至正值区域，市场重获力量

比特币价格在周日小幅反弹后重回8万美元关键点位上方，多个指标开始重新显现强势。其中，比特币已实现市值（Realized Cap）随着市场状况缓慢改善，近期已转为看涨信号。比特币重新燃起的看涨势头正逐渐体现在多个关键链上指标中，反映出市场动态的转变。比特币已实现市值目前显示出强势，随着市场情绪改善，已回升至正值区域。该指标通过计算已实现利润与已实现亏损的差值得出，反映了比特币市场创造或摧毁的价值。 CryptoQuant平台分析师Darkfost指出，该指标目前正显示复苏信号，这意味着资金正流入比特币。截至周日，比特币已实现市值已转正，增长率约为+0.25%。虽然增幅尚不显著，但这是在今年2月经历超过-2.6%的急剧下跌之后发生的。Darkfost认为，当前阶段代表了资产从“弱手”向“强手”的转移。与此同时，另一个关键指标比特币净已实现利润/亏损也已转为正值。这一变化表明，以盈利状态转移的代币数量超过了以亏损状态转移的数量，显示出市场信心和投资者情绪正在稳步改善。链上分析账户On-Chain Mind指出，该指标是五个多月以来首次转正。总体而言，这些链上指标的改善标志着市场正在经历一个修复过程，投资者情绪好转，资金开始回流。然而，这并不等同于直接进入牛市，趋势能否持续仍有待观察。

bitcoinist14分钟前

bitcoinist14分钟前

XDC Altcoin发生了什么，为何其热度刚刚超越比特币？

加密货币专家X Finance Bull指出，XDC最近在CoinMarketCap上超越比特币，成为过去七天内访问量最高的加密货币。他解释称，这一关注度激增并非偶然，而是因为XDC网络旨在解决2.5万亿美元的贸易融资缺口问题。该网络采用区块链技术替代了传统的纸质文件、人工验证和多日结算流程，具备2000 TPS、2秒最终确认、近乎零费用、KYC验证主节点以及与SWIFT相同的ISO 20022合规标准等特点。此外，BitGo为XDC网络提供合规托管服务，Liqi每日处理超1亿美元贸易融资额，新加坡TradeTrust利用其实现数字贸易文件合规。其他进展包括ComTech Gold推出符合伊斯兰教法的代币化黄金，AUDDapt在澳大利亚开展中小企业支付合作，以及USDC已桥接至该网络。美国SEC和CFTC已通过Token Taxonomy指引将其归类为数字商品。 XDC网络在1月完成了坎昆硬分叉，引入了EIP-1559等以太坊最新标准，并通过XDC 2.0实现了普林斯顿大学团队开发的拜占庭容错与监控功能。专家认为，尽管XDC目前市值约6.35亿美元，但面对数万亿美元的贸易金融市场，其约0.03美元的价格仍被低估。截至发稿，XDC价格约为0.03美元，24小时内上涨超7%。

bitcoinist1小时前

bitcoinist1小时前

BTC市场脉搏：第20周

比特币在过去一周从77,000美元高位震荡上行至82,000美元低位，买盘持续吸纳回调，尽管价格在局部高点附近动能有所减弱。现货CVD（累计成交量Delta）大幅上升，反映了强烈的看涨情绪和对价格上涨的高度信心。同时，现货交易量增加，表明近期的价格走势得到了更强投资者参与的推动。然而，价格动能的放缓指向更均衡的买卖压力，暗示市场可能进入一个稳定阶段。期货市场方面，风险偏好同样上升。期货未平仓合约增加，表明投机活动加剧和风险承担意愿增强；永续合约CVD飙升，显示持续的看涨动能。但多头资金费率下降，意味着空头兴趣抬头，看涨情绪可能正在减弱。期权市场对下行保护的需求下降，未平仓合约上升，表明市场预期转向中性偏多。然而，波动率利差大幅扩大，显示期权定价蕴含的风险显著高于已实现波动，反映出参与者中存在较高的不确定性。链上活动显著增强，每日活跃地址、实体调整后的转账量和总手续费收入均有所上升，指向用户参与度提高和网络活动增加。与此同时，流动性状况持续稳定，短期投机资本的减少降低了即时卖压，而已实现市值变化则显示适度的净资本流入。盈利能力指标也有所改善，市场从未实现亏损重回盈利状态。然而，处于盈利状态的供应百分比仍低于通常与大规模获利了结相关的水平，表明市场乐观情绪依然克制而非狂热。总结来说，比特币的市场结构继续改善，得到更强的链上活动、更健康的盈利能力和更稳定的持有者仓位的支持。虽然看涨基调正在形成，但较温和的资本流入和谨慎的市场情绪表明，市场对风险偏好的变化依然敏感。

insights.glassnode2小时前

insights.glassnode2小时前

IREN这公司疯了：卖矿机，买GPU，股价涨了16%

5月8日，IREN发布财报后股价早盘大涨16%。原因并非比特币上涨，而是公司正在主动拆除矿场——将5800台比特大陆S21 Pro矿机下架并标为待售，同时计提1.4亿美元资产减值。与之形成对比的是，公司同期签署了与英伟达的五年34亿美元合作协议，并获得英伟达最高21亿美元的股权认购承诺。此外，IREN还持有与微软的97亿美元GPU云服务订单。为支撑AI算力转型，IREN近期收购了西班牙数据中心开发商Nostrum以及云软件公司Mirantis，并获摩根大通36亿美元信贷支持。公司目前比特币持仓为零，每日挖出的币全部卖出。管理层目标是在2026年底前实现480兆瓦AI容量、15万块GPU上线，并达成37亿美元年经常性收入。此举反映了北美比特币矿业的一个趋势：矿机价值下滑，GPU算力需求上升。多数矿企选择“挖矿+AI”并行，而IREN则彻底转向，拆除矿机、清零比特币持仓，全力押注AI。公司高管称AI算力市场“供应极度短缺”，但这与昔日比特币挖矿行业的叙事相似。算力始终流向回报最高的领域，而非固定于某种叙事。

marsbit2小时前

marsbit2小时前

Saylor称战略公司的比特币信贷模型并非庞氏骗局

迈克尔·塞勒为MicroStrategy的比特币抵押信贷模型辩护，回应了外界对其STRC分红结构类似庞氏骗局的批评。他强调公司的商业模式是基于将比特币的资本增值货币化，而非依赖永续的股权发行。塞勒在5月9日的采访中指出，公司更精准的表述是“永远不会成为比特币的净卖家”，而非简单的“永不卖出比特币”。他表示，公司可能出售比特币来支付STRC分红，但这并不意味着减少比特币总持仓。核心模式是发行信贷购买比特币，预期其长期增值超过分红成本，并通过资本增值来支付股息。他解释说，STRC是一种“数字信贷”工具，旨在降低波动性并提供稳定收益，且采取了超额抵押。塞勒认为，批评者如彼得·希夫从根本上否定比特币的价值，因此也不会认可基于其构建的信贷工具。他强调，只要比特币年增值超过分红率，公司就能持续支付股息并积累更多比特币。截至发稿时，比特币价格为80,929美元。

bitcoinist2小时前