USR 穩定幣鑄造漏洞引發危機：Resolv 協議遭濫發 8,000 萬枚代幣，導致重大損失

Resolv USR 穩定幣遭攻擊

週日凌晨，Resolv 協議漏洞遭攻擊，震撼 DeFi 市場。多家區塊鏈安全機構指出，攻擊者成功利用 USR 穩定幣鑄造合約的缺陷，創造約 8,000 萬枚未被抵押的 USR 代幣，並從市場中提取約 2,500 萬美元價值的資產。

攻擊事件發生於約 02:21 UTC，最早由鏈上觀察帳號 YieldsAndMore 發現異常交易。

攻擊過程：小額存款換取巨量代幣

根據鏈上交易資料，攻擊者首先將 100,000 USDC 存入 Resolv 的 USR Counter 合約，理論上僅會獲得相對應數量的 USR。

然而實際結果卻出現嚴重異常：

• 第一筆交易鑄造約 5,000 萬枚 USR

• 第二筆交易再生成約 3,000 萬枚 USR

整體產量遠高於正常比例，約為預期值的 500 倍。

USR 價格迅速崩跌

USR 為與美元掛鉤的穩定幣，其設計並非依賴法幣儲備抵押，而是採用 ETH 與 BTC 組合搭配 Delta-neutral 對沖策略。但在大量未抵押代幣被鑄造後，市場價格迅速失控。

市場反應包括：

• 在 Curve Finance 流動性池中

• 價格於 17 分鐘內跌至 0.025 美元

（來源：DEXSCREENER）

雖然之後短暫回升至約 0.85 美元，但仍未恢復原本的 1 美元錨定。

攻擊者資金流向

攻擊者地址以 0x04A2 開頭，隨後展開一系列套利操作：

1. 將鑄造出的 USR 兌換為 USDC 與 USDT

2. 經多個去中心化交易所出售

3. 最終將資金轉換為 ETH

鏈上資料顯示：

• 主錢包持有 11,409 ETH

• 價值約 2,370 萬美元

此外，另一地址仍持有約 110 萬美元的 wstUSR。

Resolv 回應：抵押資產未被盜

事件曝光後，Resolv Labs 於社群平台表示：

• 已暫停所有協議功能

• 抵押資產池仍然完整

• 問題僅出現在 USR 鑄造流程

（來源：ResolvLabs）

分析師指出，雖然抵押資產未被直接盜取，但市場損失依然嚴重。

權限與驗證機制不足

鏈上分析師 Andrew Hong 指出，問題核心在於 SERVICE_ROLE 權限帳戶，此帳戶負責處理 swap 請求，但由一般 EOA 錢包控制，而非多重簽名管理。

同時鑄造合約也缺乏多項重要保護措施：

• 無 Oracle 價格驗證

• 未限制鑄造數量

• 未檢查鑄造請求與執行金額

DeFi 投資機構 D2 Finance 提出三種可能原因：

1. 價格 Oracle 被操控

2. 離線簽名帳戶遭入侵

3. 鑄造金額驗證機制缺失

（來源：D2_Finance）

DeFi 生態連鎖影響

USR 崩跌不僅影響持幣者，也波及 DeFi 借貸市場。USR 及其質押版本 wstUSR 曾作為抵押品，例如 Morpho、Gauntlet。

部分交易者利用市場價格低於 1 美元的機會：

• 低價購買 USR

• 以系統固定的 1 美元估值作為抵押

• 借出 USDC

這可能導致借貸池流動性快速被抽離。

保險池與流動性層也可能受損

Resolv 的流動性保護機制為 Resolv Liquidity Pool（RLP），其功能在於吸收損失以保護 USR。在攻擊發生前，RLP 流通價值約 3,860 萬美元，其中最大持有者為收益協議 Stream Finance。該協議曾於 2025 年因資產挪用事件損失 9,300 萬美元，如今再次面臨潛在衝擊。

政策層面的監管壓力

事件發生之際，美國國會正討論穩定幣相關監管，其中包括 GENIUS Act，該法案將針對收益型穩定幣進行規範。American Bankers Association 曾警告，此類產品可能會吸走傳統銀行存款。

總結

Resolv USR 事件再次提醒市場，穩定幣的風險不僅來自抵押資產，也可能源自合約設計與權限管理漏洞。即使底層資產未被直接盜取，供應量膨脹與市場信心崩潰仍可能造成巨大損失。隨著 DeFi 市場持續擴張，如何建立更完善的監控、權限管理與風險控制機制，將成為穩定幣與鏈上金融發展的重要課題。