通过合约升级解决“Caps Exploit”损失 3400 万美元，并销毁黑客代币

Resolv Labs于2026年4月6日执行了一次链上合约升级，以永久销毁由攻击者控制的3600万（准确为36.73百万）wstUSR和stUSR代币，从而将协议在3月22日漏洞利用事件中的预计净损失上限控制在约$34 million。

该攻击者使用了一个被攻破、托管在AWS上的私钥，仅用$100,000到$200,000的抵押品铸造了8000万无背书USR代币；在流动性耗尽之前，他们将3400万USR兑换为11,409 ETH（价值约$24.5 million），其余代币则在协议升级中被销毁。

Resolv通过合约升级摧毁黑客代币

链上确认的升级交易首先将stUSR解包为USR，然后再将二者都发送到零地址，使这些代币对任何人（包括黑客）都不可取回。Resolv此前已暂停协议，并提供10%的白帽悬赏，但黑客没有表现出对和平解决方案的兴趣，因此团队行使其升级权限来销毁剩余代币。

该漏洞利用发生在2026年3月22日：攻击者使用一把被攻破、托管在AWS上的单一私钥，该私钥控制SERVICE_ROLE，从而批准了两笔规模巨大的铸币。尽管攻击者作为抵押只存入了$100,000到$200,000的USDC，协议仍发行了8000万无背书USR代币。黑客迅速在流动性用尽之前，将3400万USR兑换为11,409 ETH，当时约为$24.5 million。剩余代币留存在施害者的钱包中，多数以wstUSR形式被封装。

由于黑客行为导致的脱钩（depeg），USR在Curve上最低跌至$0.025。Resolv的合约升级此前曾因中心化风险而受到批评，类似于其他项目（如Flow）曾考虑过的做法，但这一操作确实成功将协议总的预计损失上限控制在约$34 million。

DeFi协议因Resolv漏洞承受连带冲击范围

暴露于Resolv金库的DeFi协议遭受了连带冲击。Morpho金库吸收了数百万美元的不良债务，引发了大规模资金外流。DeFi数据分析平台Trading Strategy指出，许多金库由于Resolv私钥遭泄露而变得缺乏流动性，抵押品在一夜之间变得毫无价值。部分Morpho金库突然显示出高收益，但这些金库依然缺乏流动性，存款者不太可能能够提取资金。

优秀的策展方通过将最大存款额设为零来阻止新的存款，但金库标准并没有针对“已损坏”金库的单独标记，只有“达到最大容量”。Trading Strategy通过人工方式将有问题的金库加入黑名单，但该过程需要时间。

更广泛的DeFi黑客模式在Drift与Balancer中延续

Resolv漏洞利用进一步强化了一种严峻的、大规模DeFi黑客模式。就在Resolv之前的数周，负责开创性自动做市商（AMM）的营利实体Balancer Labs宣布，在2025年11月的一次攻击中损失了$128 million之后，它将停止运营。Balancer的首席执行官提到了黑客事件造成的持续法律后果和财务代价；通过对金库交互的操纵，流动性池被抽干。Balancer DAO和协议仍在运行，但核心开发公司已实际上结束。

2026年4月伊始，Drift Protocol报告称：4月1日录得$285 million的损失，与由朝鲜国家支持的黑客有关。对Resolv而言，给出最终损失数字$34 million为恢复提供了明确的基准，从而为协议争取到Balancer未能享受到的时间。运营仍处于暂停状态。

常见问题（FAQ）

Resolv漏洞利用是如何发生的？

攻击者攻破了一个托管在AWS上的私钥，该私钥控制着SERVICE_ROLE，使其能够在仅有$100,000–$200,000抵押品的情况下铸造8000万无背书USR代币。他们在流动性耗尽之前将3400万USR兑换为11,409 ETH（≈$24.5 million）。随后，Resolv通过一次合约升级销毁了剩余的36.73百万代币。

Resolv的最终预计损失是多少？

Resolv的净损失约为$34 million。攻击者从中提取了约$24.5 million的ETH，而协议的升级通过销毁剩余的、由黑客持有的代币来阻止进一步损失。

最近的黑客事件还影响了哪些其他DeFi协议？

Balancer Labs在2025年11月遭遇$128 million的黑客攻击后停止运营，Drift Protocol则在2026年4月1日遭受了$285 million的漏洞利用。Morpho金库也吸收了来自Resolv事件的不良债务，使其变得缺乏流动性并引发大规模资金外流。