撰文:Eric,Foresight News
北京时间今日 10:21 左右,利用 Delta 中性策略发行稳定币 USR 的 Resolv Labs 遭到黑客攻击。0x04A2 开头的地址用 10 万枚 USDC 从 Resolv Labs 协议中铸造出了 5000 万枚 USR。
随着事件曝光,USR 应声跌至 0.25 美元附近,截至撰文时回升至 0.8 美元左右。RESOLV 代币价格短时最高跌幅也接近 10%。
之后黑客如法炮制再次用 10 万枚 USDC 铸造了 3000 万枚 USR。随着 USR 的大幅脱锚,套利交易者也快速行动,Morpho 上支持以 USR、wstUSR 等作为抵押品的很多借贷市场已几乎被掏空,BNB Chain 上的 Lista DAO 也暂停了新的借款请求。
受到影响的还不止这些借贷协议。Resolv Labs 协议设计中,用户还可以铸造一种价格波动更大,收益也更高,但需要在协议收到损失时承担赔偿责任的 RLP 代币。目前 RLP 代币的流通量近 3000 万枚,最大持有者 Stream Finance 持有超 1300 万枚 RLP,净风险敞口大约为 1700 万美元。
没错,之前因为 xUSD 暴雷了一次的 Stream Finance 可能要再次被暴击。
截至撰文时,黑客已将 USR 转换为 USDC 和 USDT,并持续买入以太坊,目前已经买入超 1 万枚。用 20 万枚 USDC 套出了超 2000 万美元的资产,黑客在熊市期间找到了属于 TA 的「百倍币」。
又一次因「不严谨」而被钻空子
去年 10 月 11 日的大跌,使得很多使用 Delta 中性策略发行的稳定币都因为 ADL(自动降杠杆)而产生了抵押品损失。部分以山寨币作为执行策略的资产的项目损失更为惨重甚至直接跑路。
这一次遭到攻击的 Resolv Labs 也是利用类似的机制发行 USR,该项目曾在 2025 年 4 月宣布完成了 Cyber.Fund 和 Maven11 领投,Coinbase Ventures 参投的 1000 万美元种子轮融资,并于 5 月底 6 月初上线了代币 RESOLV。
但 Resolv Labs 被攻击的原因并非极端行情,而是铸造 USR 的机制设计「不够严谨」。
目前还没有安全公司或者官方对此次黑客事件发生的原因进行分析。DeFi 社区 YAM 通过分析初步得出了结论:攻击很可能是协议后端用于给铸造合约提供参数的 SERVICE_ROLE 被黑客控制导致。
据 Grok 分析,用户铸造 USR 时会在链上发起请求,并调用合约的 requestMint 函数,参数包括:
_depositTokenAddress:存入的代币地址;
_amount:存入数量;
_minMintAmount:最低期望收到的 USR 数量(防滑点)。
之后,用户将 USDC 或 USDT 存入合约,项目方后端 SERVICE_ROLE 监控请求,使用 Pyth 预言机检查存入资产的价值,之后调用 completeMint 或 completeSwap 函数,决定实际铸造的 USR 数量。
问题就出在,铸造合约完全信任 SERVICE_ROLE 提供的 _mintAmount,认为该数字是在链下由 Pyth 验证过的,所以没有设置上限限制,也没有链上的预言机验证,直接执行了 mint(_mintAmount)。
据此,YAM 怀疑黑客控制了本应由项目方控制的 SERVICE_ROLE(可能是由于内部预言机失控、监守自盗或者密钥被盗),在铸造时直接将 _mintAmount 设置为 5000 万,实现了用 10 万枚 USDC 铸造 5000 万枚 USR 的攻击事件。
归根结底,Grok 给出的结论是,Resolv 在设计协议时并未考虑用于接收用户铸造请求的地址(或合约)会被黑客控制的可能性,在铸造 USR 的请求提交给最后铸造 USR 的合约时,没有设置最大铸造数额,也没有让铸造合约用链上预言机进行二次验证,就直接信任了 SERVICE_ROLE 提供的所有参数。
预防也不到位
除了推测被黑的原因,YAM 也指出了项目方在应对危机方面的准备不足。
YAM 在 X 上表示,Resolv Labs 在黑客第一次攻击完成后的 3 个小时才暂停了协议,其中有大约 1 小时的延迟是来自于收集多签交易需要的 4 个签名。YAM 认为,紧急暂停应该只需一个签名,且权限应该尽可能分配给团队成员,或者可信的外部运营人员,这样可以增加对链上异常情况的关注度,提高快速暂停的可能性,并更好地覆盖不同时区。
虽然只需单个签名就可以暂停协议的建议有些激进,但需要跨不同时区的多个签名才能暂停协议确实在紧急情况发生时可能会耽误大事。引入可信的、持续监控链上行为的第三方,或者使用有紧急暂停协议权限的监控工具,都是这次事件带来的「后事之师」。
黑客对 DeFi 协议的攻击早就已经不限于合约漏洞,Resolv Labs 的事件给项目方的警示在于:在协议安全方面的假设应该是不能信任其中任何一环,所有涉及参数的环节都必须至少进行二次验证,即使是项目方自己运营的后端也不例外。
