DeFi稳定币遭黑客攻击：20万美金撬动近1亿资产

2026-03-22 18:26 loading...

作者：Eric，Foresight News

北京时间今日10:21左右，Resolv Labs遭到黑客攻击。该项目采用Delta中性策略发行稳定币USR，而攻击者通过一个以0x04A2开头的地址，仅投入10万枚USDC，便在协议中铸出5000万枚USR。

DeFi稳定币再遭攻击：黑客以20万美元撬动近1亿美元资产

事件曝光后，USR价格迅速跌至0.25美元附近，截至撰文时回升至约0.8美元。与此同时，RESOLV代币短时跌幅接近10%。

DeFi稳定币再遭攻击：黑客以20万美元撬动近1亿美元资产

随后，黑客再次使用10万枚USDC铸造3000万枚USR。随着USR严重脱锚，套利交易者迅速行动，导致Morpho上以USR、wstUSR为抵押品的多个借贷市场几乎被清空。此外，BNB Chain上的Lista DAO也紧急暂停了新借款请求。

DeFi稳定币再遭攻击：黑客以20万美元撬动近1亿美元资产

除了借贷协议，受影响的还包括项目推出的高风险收益代币RLP。该代币允许用户在协议受损时承担赔偿责任，目前流通量接近3000万枚。其中最大持有者Stream Finance持有超1300万枚，净风险敞口约为1700万美元，此前因xUSD暴雷已受重创，此次恐再度承压。

截至撰文时，黑客已将部分USR兑换为USDC和USDT，并持续买入以太坊，累计购入超1万枚。通过20万枚USDC，成功套现超过2000万美元资产，在熊市中实现“百倍币”式收割。

又一次因“不严谨”而被钻空子

去年10月，多起基于Delta中性策略的稳定币因自动降杠杆（ADL）机制在极端行情下遭遇抵押品损失，部分项目甚至直接跑路。而此次被攻击的Resolv Labs同样依赖此类机制发行稳定币USR。

该项目曾在2025年4月完成由Cyber.Fund和Maven11领投、Coinbase Ventures参投的1000万美元种子轮融资，并于5月底至6月初上线代币RESOLV。

然而，此次攻击并非源于市场剧烈波动，而是协议在铸造机制设计上的“不够严谨”所致。

目前尚无官方或主流安全机构披露具体原因。但DeFi社区成员YAM初步分析指出，攻击极可能源于项目后端用于提供铸造参数的SERVICE_ROLE被黑客控制。

DeFi稳定币再遭攻击：黑客以20万美元撬动近1亿美元资产

据Grok分析，用户在铸造USR时需调用合约中的requestMint函数，传入三个关键参数：

随后，用户将USDC或USDT存入合约，项目方后端的SERVICE_ROLE监控请求，并通过Pyth预言机验证资产价值，再调用completeMint或completeSwap函数确定实际铸造数量。

问题核心在于：铸造合约完全信任SERVICE_ROLE提供的_mintAmount参数，未设置上限，也未进行链上预言机二次验证，直接执行mint(_mintAmount)。

因此，一旦SERVICE_ROLE被攻破，攻击者可将_mintAmount设为任意数值，例如5000万，从而实现“10万美金换5000万枚稳定币”的异常铸造。

归根结底，Grok指出，Resolv在设计时未考虑外部输入参数可能被恶意操控的情况。在关键环节，既未设定最大铸造限额，也未要求链上验证，而是全盘信任链下服务角色——这是典型的“信任过度”陷阱。

除了技术漏洞外，项目方在危机应对方面的反应也引发争议。

YAM在X平台指出，黑客首次完成攻击后，Resolv Labs耗时约3小时才暂停协议，其中约1小时用于收集多签交易所需的4个签名。

YAM认为，紧急暂停功能应只需单签即可触发，权限宜分配给团队成员或可信外部运营人员，以提升跨时区响应效率。若依赖多签流程，极易在关键时刻延误处置时机。

虽然单签机制存在一定风险，但在紧急状态下，快速止损远比流程完美更重要。引入第三方链上监控工具，或建立具备紧急权限的自动化预警系统，是此次事件带来的关键教训。

黑客对DeFi的攻击早已超越传统合约漏洞。Resolv Labs事件警示所有项目方：任何环节都不应被默认信任，尤其是涉及参数传递的链下服务。即使是由自己掌控的后端系统，也必须通过链上验证、双重确认等机制加以约束。

声明：文章不代表比特之家观点及立场，不构成本平台任何投资建议。投资决策需建立在独立思考之上，本文内容仅供参考，风险自担！转载请注明出处！侵权必究！