Resolv Labs这回栽得真够狠。攻击者直接铸造了价值超8000万美元的无抵押USR稳定币,币价瞬间从1美元砸到0.25美元,跌幅高达75%。Cyvers安全团队最先拉响警报,链上数据显示,整个攻击分两步走:先铸了5000万,再补了3000万,总计正好8000万出头。
攻击者只用了10万美元的USDC做引子,就触发了铸币漏洞。得手后立刻把这些凭空变出来的USR全砸进DEX流动性池,短短几分钟套走2400多万美元的以太坊。PeckShield的链上追踪也确认了这个数字,没跑偏。
Resolv官方反应很快,发推说抵押池完好无损,没丢任何底层资产,问题只出在USR的发行机制上,现在全协议已暂停。但这话听着怎么那么别扭?对协议来说资产没丢,对散户来说手里的USR已经腰斩再腰斩,74%的实际亏损谁来赔?
回看前情,USR的总市值今年2月初还有接近4亿美元,到攻击前几周已经缩水到1亿美元,足足蒸发75%。这么大的资金外流,链上轨迹摆在那,却没人及时刹车。有人开始怀疑,是不是有内部人或者大户提前跑路,留下一地鸡毛给接盘侠。
更扎心的是,这次漏洞根本不是什么高明黑客操作,就是基础架构摆烂。区块链分析师Andrew Hong直接点名:所谓“service role”居然是个普通的EOA外部账户,只用一个私钥控制,而不是多签钱包。关键的TheCounter和SimpleToken合约里,既没设最大铸币上限,也没接价格预言机校验。攻击者随便调个超大swap金额,服务角色就老老实实帮着完成了铸币。
YieldsAndMore团队也补刀,说这个admin角色连最基本的防护栏都没装。单私钥+无上限+无价格校验,等于把印钞机钥匙直接交给路人甲。安全研究员直言,这不是加密战争,是赤裸裸的粗心大意。
Cyvers CEO Deddy Lavid接受BeInCrypto采访时放话,审计报告再花哨也没用,铸币和供应数据必须实时监控,任何异常都要立刻掐死。否则就像现在这样,一夜之间崩盘,事后补救等于白搭。
稳定币这玩意儿,从来不是慢慢漏气,而是轰然炸裂。Terra崩过,USDD晃过,现在轮到USR。Resolv号称有完整抵押,但攻击者压根没动抵押池,直接在发行端开了挂。散户拿着1美元的“稳定币”,转眼变成0.25美元的废纸,这种信任崩塌比丢钱更疼。
当前大盘也不太平,BTC现报$68,709(24h跌2.70%),ETH现报$2,082(24h跌3.42%),主流币集体下挫,DeFi板块的恐慌情绪更容易被放大。USR事件一出,市场对“算法+抵押混合”模式的质疑声又起来了。Resolv现在把协议按了暂停键,调查还在进行,但用户损失已经实打实摆在那。
单看技术细节,这次漏洞低级得离谱:一个EOA掌控核心角色,没上限,没校验,等于把后门大开。谁拿到了那个私钥?是黑客社工得手,还是内部泄露?目前没确凿证据,但链上行为指向高度协调的操作,很难让人不往最坏处想。
DeFi走到今天,安全从来不是加分项,而是及格线。一次审计盖不住一辈子疏忽。Resolv这事儿提醒所有人:你敢印的稳定币,市场就敢给你上75%的社会性死亡。散户血亏,协议喊无辜,信任一旦碎了,再怎么公关也粘不回去。