Resolv Labs的USR稳定币周日凌晨直接炸了。原本锚定1美元的资产,一夜之间在某些池子里跌到几分钱,最大跌幅高达74%。黑客通过协议的铸币机制漏洞,用大约10万到20万美元的USDC,硬生生mint出8000万枚无抵押USR,然后迅速抛售套现。
整个攻击分两步走。先是用少量资金调用requestSwap和completeSwap函数,制造出第一批5000万USR。PeckShield监测到后续又补了一刀,额外铸了3000万枚,总量直奔8000万。攻击者把这些凭空变出来的代币一股脑扔进Curve、Uniswap等DEX流动性池,瞬间把价格砸穿。Curve上的USR/USDC池因为集中流动性放大效应,价格一度跌到$0.025,几乎归零。其他平台报价也惨不忍睹,最低触及$0.14,反弹后勉强徘徊在$0.42附近。
黑客套现效率极高。抛售后换成USDC和USDT,再迅速转成ETH,总计提取价值约$25百万的资产,折合大概11422枚ETH。链上数据显示,3月22日当天就有$28.56百万的资金注入ETH市场,这波操作直接给大饼提供了意外流动性。Resolv Labs官方紧急发声,确认协议暂停所有功能,正在调查并尝试恢复。团队强调底层抵押池没丢资产,问题只出在铸币环节。
安全公司分析,漏洞很可能出在oracle被操控、off-chain signer被黑,或者金额校验缺失。攻击者用200K本金撬动上亿规模,典型的“低成本高回报”DeFi黑产套路。DeFi社区反应很快,Lido、Morpho等协议立马暂停相关市场,隔离风险。Lista DAO在BNB链上也直接停掉USR相关借贷新请求,避免连锁踩踏。
USR本身是Resolv Labs用delta neutral策略发行的超额抵押稳定币,主打ETH背书。结果这次铸币函数彻底崩坏,等于把整个机制玩坏。黑客现在还握着部分赃款,在多个钱包间转移,追回难度不小。Resolv Labs宣称会全力恢复服务,但用户信心已经重创。
大环境看,稳定币领域本就敏感。USDT、USDC这些老大哥稳得一批,新项目一出事就容易被放大恐慌。BTC现报$70,803(24h +3.12%),ETH现报$2,150(24h +3.27%),主流币还在反弹通道,说明市场整体没被这一单拖死。但USR这种小众稳定币崩盘,提醒大家:再花哨的机制,代码一有漏洞就是定时炸弹。黑客用100K撬走25M,这种效率让多少人直呼内行。
协议方现在最急的是止血和补救。暂停是第一步,接下来得看能不能冻结部分赃款,或者通过社区治理补偿。DeFi黑客事件年年有,这次Resolv Labs栽得特别狠。用户资金安全永远是第一位,别光盯着收益率,审计报告和代码透明度才是硬道理。攻击者这一手操作,堪称教科书级别的DeFi漏洞利用。