Resolv Labs 在遭到 3400 萬美元的漏洞攻擊後，燒毀了被駭用戶幣（USR）3,670 萬美元

Resolv Labs 在 2026 年 4 月 6 日透過合約升級摧毀了遭攻擊者持有的 3,673 萬枚 USR 穩定幣，該事件發生在 3 月份的漏洞之後。攻擊者利用被竊取的金鑰使其能以少於 $200,000 的初始抵押品鑄造 8,000 萬枚未具擔保的 USR 代幣，並在約 11,409 枚 ETH（約 $24.5 百萬）下傾倒（拋售）了約 3,400 萬枚 USR。

該事件使該協議面臨約 $34 百萬的預估淨損失，儘管 Resolv Labs 聲稱其抵押品池仍保持完整。

攻擊者利用離線鑄幣鑰匙鑄造未具擔保的 USR

此次漏洞源於 Resolv 的 USR 鑄幣流程發生了關鍵性失效。單一攻擊者在兩步驟的離線鑄幣流程中，使用遭竊取的服務金鑰，得以生成 8,000 萬枚未抵押的 USR 代幣。接著，攻擊者在 DeFi 流動性池中傾倒約 3,400 萬枚 USR，從中抽走約 11,409 枚 ETH（價值約 $24.5 百萬）。攻擊者地址中後續持有的 USR 則在合約升級後被 Resolv Labs 摧毀，合計從攻擊者地址移除了約 4,600 萬枚 USR。

此次事件導致 USR 脫錨，在最低跌至 $0.14 後，才部分反彈至 $0.23–$0.27 區間。鏈上分析機構估計，當代幣在 Curve 以及其他流動性池脫錨時，攻擊者獲利在 $23 百萬至 $25 百萬之間。

Resolv Labs 使用合約升級燒毀駭客持倉

公告前約一小時，Resolv Labs 執行了一次合約升級，摧毀了攻擊者地址中持有的 3,673 萬枚 USR。團隊已透過該升級，總計從攻擊者地址移除了約 4,600 萬枚 USR。然而，攻擊者已在 ETH 中抽走的價值——約 11,409 枚 ETH（約 $24.48 百萬）——仍保留在地址 0x8ED…81C，使該協議面臨約 $34 百萬的實際經濟打擊。

在其事後檢討中，Resolv Labs 強調，即使發生了由漏洞驅動的 8,000 萬枚 USR 鑄幣，其抵押品池「仍保持完整」。然而，集成協議中的流動性提供者與槓桿用戶吸收了價格滑點並被迫進行平倉（強制了結）。該協議在漏洞後暫停營運並推出了復原計畫。

USR 漏洞凸顯 DeFi 金鑰管理風險

USR 漏洞已成為 DeFi 金鑰管理失敗的案例研究，並引發與其他近期穩定幣失敗以及借貸市場傳染的相似性對比。Chainalysis 將此事件描述為：攻擊者得以鑄造數千萬枚未具擔保的穩定幣，並抽取約 $23 百萬的價值，凸顯了在離線鑄幣流程中遭到攻陷的服務金鑰，如何可能層層連鎖並導致系統性損失。

該事件也凸顯了：在名義上去中心化的系統中，特權控管既可能促成，也可能緩解災難性失敗。對交易者與投資人而言，此次事件重新引發了長期疑問：收益型穩定幣能否在不引入單點失效的情況下擴展。使用可組合穩定幣的 DeFi 協議如今面臨新的壓力，必須強化鑄幣邏輯、輪換金鑰，並以與已審計智慧合約相同的嚴謹程度來對待後端基礎設施。

FAQ

Resolv Labs 的漏洞是如何發生的？

攻擊者在 Resolv 的兩步驟離線鑄幣流程中攻陷了服務金鑰，使其得以用少於 $200,000 的初始抵押品鑄造 8,000 萬枚未具擔保的 USR 代幣。隨後，攻擊者在 Resolv 透過合約升級燒毀剩餘持倉之前，先將約 3,400 萬枚 USR 兌換為 11,409 ETH（約 $24.5 百萬）。

漏洞造成的財務影響是什麼？

攻擊者抽取了約 11,409 枚 ETH，價值約 $24.5 百萬。儘管已燒毀攻擊者持有的 3,673 萬枚 USR，Resolv Labs 仍面臨約 $34 百萬的預估淨損失。USR 穩定幣脫錨，最低跌至 $0.14，之後才部分回復。

Resolv Labs 在漏洞發生後採取了哪些措施？

Resolv Labs 暫停營運、推出復原計畫，並使用合約升級摧毀攻擊者持有的 3,673 萬枚 USR。團隊已從攻擊者地址移除了約 4,600 萬枚 USR。該協議表示，即使發生該漏洞，其抵押品池仍保持完整。