ステーブルコイン USR がフラッシュクラッシュで脱ペッグ！Resolv が「鋳造欠陥」で爆発、ハッカーが2,500万ドルを巻き上げる

複数のオンチェーンセキュリティ機関の報告を総合すると、DeFiプロトコルResolvは日曜日に脆弱性攻撃を受け、ハッカーは非常に低コストで8千万枚の未担保の安定コインUSRを鋳造し、迅速に売却して約2,500万ドルを現金化した。これによりUSRの価格は大きく乖離し、借入市場にも連鎖的な影響を引き起こした。 この攻撃は3月22日午前10時21分頃に発生した。オンチェーンのデータによると、ハッカーは当時、Resolvのスマートコントラクトに10万USDCを預け入れたが、そこから5千万USRを引き出すことに成功し、通常の交換比率の500倍以上の価値を得た。その後、ハッカーは欲に駆られ、二回目の取引でさらに3千万USRを鋳造した。

USR from @ResolvLabs is trading at one cent, someone minted 50m USR with $100k USDC pic.twitter.com/fXtjZgxzQk

— YAM 🌱 (@yieldsandmore) March 22, 2026

ドルと1:1で連動することを謳う安定コインとして、USRの運用ロジックは従来の法定通貨準備金に依存せず、イーサリアムやビットコインを用いて「デルタニュートラルヘッジ戦略（Delta-neutral hedging、ロングとショートのポジションを相殺し価格変動リスクを排除）」を構築し、その価値を維持している。 DEX Screenerのデータによると、ハッカーが最初のトークンを鋳造した後、USRは流動性の最も厚いCurve Financeのプールでわずか17分で0.025ドルまで暴落した。後に一時的に0.85ドル付近に回復したものの、執筆時点では依然として1ドルのペッグに回復していない。 ハッカーのマネーロンダリング手法は巧妙で、公式は「担保プールは無傷」として議論を呼ぶ 資金を奪った後、ハッカー（ウォレットアドレスは0x04A2で始まる）は、主要なDEXでこれらの空から鋳造されたUSRをUSDCやUSDTに交換し、その後すべてをイーサリアムに変換した。オンチェーンのデータによると、ハッカーのウォレットにはすでに11,409イーサ（約2,370万ドル相当）が蓄積されている。 事件が明るみに出た後、Resolv LabsはSNSプラットフォームXに声明を出し、「すべてのプロトコル機能を一時停止した」「担保プールは無傷であり、底層資産の喪失はない」と強調し、今回の事故を「単なるUSR発行メカニズムの脆弱性」と位置付けた。

We are currently investigating a security incident involving unauthorized minting of USR.

At this stage:

The collateral pool remains fully intact. No underlying assets have been lost.

The issue appears isolated to USR issuance mechanics.

Our immediate priority is to:

1)…

— Resolv Labs (@ResolvLabs) March 22, 2026

権限管理はまるで機能していない 公式は衝撃を和らげようと試みる一方、セキュリティ専門家たちはそうは受け入れない。オンチェーンデータ分析者のAndrew Hongは、攻撃の突破口は「SERVICE_ROLE」と呼ばれる特権アカウントにあったと指摘する。驚くべきことに、こうした重要な権限が、複数の署名を必要とする安全なマルチシグアカウントではなく、ただの外部の一般アカウント（EOA、個人のウォレット）一つに管理されていたのだ。さらに、鋳造コントラクトには価格を検証するオラクルや数量の検査もなく、「鋳造上限」すら設定されていなかった。 DeFi投資ファンドのD2 Financeも、原因として以下の3つを挙げている：オラクルの悪意ある操作、オフチェーン署名者の侵害、または鋳造リクエストと実行の間に金額検証を行う仕組みがなかったこと。最初にこの事故を暴露したYieldsAndMoreも、Resolvのような資金規模のあるプロトコルにおいて、コア管理権限に最も基本的なセキュリティ対策すら欠如していることに嘆いている。 ブロックチェーンセキュリティ企業のCyversのCEO、Deddy Lavidは次のように述べる。「これこそが安定コインのリスクが本当に顕在化する場所だ。定期的なコントラクト監査だけでは不十分だ。リアルタイムでトークンの鋳造と供給量を監視しなければ、危機が訪れたときにチームはまるで目隠しをされたかのように無力だ。」

予期せぬ災厄！見えざるインフレが散在投資家を襲い、連鎖反応が借入市場に波及 Resolv公式は「担保プールは無傷」と主張しているが、その言葉は事件の深刻さを過小評価している。オンチェーン分析者は、この攻撃は直接的に「金庫の掏り出し」ではなく、より巧妙な「供給インフレ」手法だったと指摘する。8千万枚の新たなトークンが瞬時に流通価値を希釈し、ハッカーは売り浴びせて流動性プールを根こそぎ奪った。これにより、当時USRを保有していた投資家の資産価値は瞬時にして無慈悲に奪われたことになる。 この騒動は他のDeFi借入市場にも急速に拡散した。USRとその派生トークンは、多くの借入プラットフォーム（例：Morpho、Gauntlet）で担保として認められていたため、投機筋はこれを好機と見て、市場で低価格でUSRを買い集め、借入プラットフォームに持ち込み、「1 USR＝1ドル」の硬直した価格設定を利用して大量にUSDCを借り出した。この「素手で狼を捕らえる」操作は、借入金庫の流動性を根こそぎ奪った。 数千万の資金調達と14回のトップクラス監査を経て、今や崩壊の危機 実は、ハッカーの攻撃を受ける前から、Resolvの資金規模はすでに縮小傾向にあった。USRの時価総額は今年2月初めの4億ドルのピークから、事件前の約1億ドルまで急落していた。