USR机制本身埋下了什么雷？为何历经12次审计 依旧不安全

邓通，金色财经

2026年3月22日，Resolv Labs稳定币发生漏洞。某地址用10万枚USDC铸造出50,000,000枚USR，使得USR短时最低暴跌至0.14498美元，跌幅85.502%。截至发稿，USR价格有所回升，报0.3237美元，仍处于脱锚状态。

一、Resolv Labs稳定币脱锚事件始末

昨天，链上分析师@ai_9684xtpa监测，ResolvLabs稳定币发生漏洞。“10 万枚 USDC Mint 出了 5000 万枚 USR，整整 500 倍！”

随后，Ai 姨还原了事件经过：

1.用 10 万枚 USDC Mint 出 5000 万枚 USR；

2.将 3500 万枚 USR 转换为 wstUSR；

3.正将 wstUSR 持续换成 USDC 和 USDT；

4.用 USDT 买入 ETH，现已买入 455 万美元的 ETH。

@OnchainLens发文指出：

Resolv 攻击者仅用 20 万美元的 USDC 就铸造了价值 8000 万美元的 USR。

> 随后，攻击者将其兑换成 wstUSR，再兑换成 USDC 和 USDT。

> 目前已使用价值 1724 万美元的 USDC 和 USDT 购买了 9111 个 ETH。

> 仍在继续将 USR 兑换成 USDC 和 USDT，并可能继续购买更多 ETH。

在距离Ai姨发布推文近两个小时后，Resolv Labs终于确认了遭攻击的事实：

Resolv 遭遇漏洞攻击，攻击者利用该漏洞铸造了 5000 万枚未担保的 USR。

目前，团队已暂停所有协议功能以防止进一步的恶意操作，并正在积极进行恢复工作。

随后，Resolv Labs继续发文：

我们目前正在调查一起涉及未经授权铸造 USR 的安全事件。现阶段情况：抵押池保持完整，底层资产未发生任何损失；问题似乎仅局限于USR发行机制层面。 当前的首要任务是：控制事件范围；评估影响程度；确保合法用户不受影响。我们正积极展开调查，并将尽快发布更多进展。

Cyvers 负责市场营销和战略的副总裁 Michael Pearl指出：由于供应量增长速度超过了市场吸收速度，加之代币脱锚，剩余代币的价值受到了严重损害。

来自 Arkham 的链上数据（经 Web3 安全公司 Cyvers 证实）显示，攻击者已将大部分铸造的 USR 兑换成了以太坊。其中一部分被出售，获利约 11,400 ETH（约合 2400 万美元），剩余的USR “仍在持续抛售”。

其他生态参与者的回应

与Resolv有业务往来的DeFi协议纷纷自证清白。

Venus Protocol发文指出：

由于持续的脱锚事件，Venus Flux 的 USR 市场已暂停交易。

Venus Core 不受影响。所有用户资金安全无虞。

我们正在密切关注事态发展，并将在获得更多信息后及时更新。

DeFi研究和风险管理公司Gauntlet发文表示：

北京时间今日10:21，Resolv的USR合约遭攻击……大部分Gauntlet财库未受影响，少数高收益财库存在有限风险。我们正在监控流动性，并会持续更新进展。

Euler Labs 发文：

已注意到 Resolv 报告的 USR 未经授权增发安全事件，团队正在积极调查中，作为预防措施已将 Arbitrum 上 Euler Yield 金库中的 RLP 抵押品功能禁用，Euler Earn USDC（Arbitrum）也已停止向 Euler Yield 进行资金分配。 Euler Labs 称，上述措施旨在隔离潜在风险敞口，当前仍在持续评估事件影响，后续将及时披露更多进展。

Aave创始人Stani.eth在X平台发文确认：

其协议无Resolv Labs稳定币USR敞口，Resolv仅作为流动性提供方将其支持资产供应给Aave协议，相关资产目前均保持安全，支撑资产本身未受影响，Resolv可顺利退出并已开始偿还债务，同时该事件对Aave流动性提供者（LP）没有不利影响，对协议本身也没有影响。

DeFi协议Fluid官方公告：

已获悉Resolv黑客事件，Fluid的自动限额机制阻止了资金的过度借贷，USR市场也已暂停交易，事态发展得到控制。 

如果Fluid上仍有任何坏账，所有用户的损失都将得到全额赔偿。用户资金和协议安全是Fluid的首要任务，目前正在进行全面审查，调查结束后将发布详细的事后分析报告。

次日，Fluid继续发文：

团队已获得短期贷款，足以覆盖协议中目前100%的不良债务。这些资金由Lomashuk、cyberfund、weremeow及Fluid核心团队承诺提供，确保用户资金安全。 

Resolv Labs已确认将覆盖所有在安全事件发生前产生的USR头寸，并将开放必要的赎回以关闭相关债务头寸。此外，多位投资者表示有兴趣在需要额外资金时从国库购买FLUID，以进一步加强协议的后备保障。Fluid智能合约运行正常，所有其他市场正常运作，协议保障措施仍然有效，用户在平仓期间可能遇到暂时的利率波动。

韩国加密货币交易所Bithumb和Upbit发文：

发布稳定币USR相关交易警告，提醒投资者USR出现安全问题和价格剧烈波动，在投资Resolv 时格外谨慎。

二、Resolv Labs 遭攻击原因及补救措施

Resolv Labs 官方发布了遭攻击原因及后续的补救措施。

本通知由 Resolv Digital Assets Ltd. 代表发布，与 Resolv 协议相关。

今天早些时候，一名恶意攻击者通过被盗用的私钥非法访问了 Resolv 基础设施，导致约 8000 万美元的无抵押 USR 被非法铸造。目前正在进行全面的事后分析，完成后将公布分析结果。

该事件被迅速发现，相关智能合约也立即暂停运行。攻击者持有的约 900 万枚 USR 已被销毁，以降低潜在影响。

该协议目前持有约 1.41 亿美元的资产，迄今为止发现的唯一实际影响是暂停运行前处理的约 50 万美元赎回。

当前 USR 供应量包括事件发生前的 1.02 亿枚 USR 和约 7100 万枚新近非法铸造的代币。

作为恢复流程的第一步，我们正准备为所有事件发生前的 USR 启用赎回功能，首先面向已列入白名单的用户。当前目标启动日期为2026年3月23日。受影响用户应通过官方渠道直接与RDAL联系。

此次事件由未经授权的第三方行为导致，包括有针对性的基础设施入侵和网络攻击。Resolv的底层抵押品并未直接受损。

我们正在积极：

• 追踪并试图控制非法铸造的USR和其他受影响资产

• 与合作伙伴和交易对手协调

• 与执法部门和链上分析公司合作，以识别责任人

我们将采取一切可行的途径追回资产，并将责任人绳之以法。

我们强烈建议用户在恢复措施实施期间不要交易USR或相关的Resolv代币。用户在攻击后期间的任何行为都可能影响资产恢复。

有关非法USR和RLP的更多最新信息将在近期发布。

有很多关注者对此安全事件发出质疑：

• 0xKeep 评论：“事后分析会得出这样的结论：密钥泄露 → 未经授权的货币兑换 → 紧急暂停。只有当有人持有如此强大的密钥时，才会出现这种操作顺序。设计上的问题不在于暂停的速度有多快，而在于暂停键是否应该存在。”

• @Mahirsibli22指出：“8000万美元的未经授权增发绝非小事。感谢官方的更新，但用户需要明确的答案：——究竟哪些人有资格赎回？——完整的补偿方案是什么？——恢复时间表是什么？信任岌岌可危，切勿辜负信任。  ”

• @y_nabih指出：“Resolv 的 8000 万美元“黑客攻击”简直是安全漏洞的笑话。一个泄露的密钥就能发行 8000 万枚无抵押的$USR？发行限额呢？多重签名呢？时间锁呢？如果你的安全模型仅仅是“请不要窃取管理员密钥”，那么你构建的不是去中心化金融（DeFi），而是一个中心化的印钞机。”

• @xmr_bt指出：“真是太搞笑了。事件发生后不到一个小时，整个X平台都在转发这条消息。就连不交易加密货币的人都看到了，而你们项目团队却好像什么都没注意到。我怀疑你们自己才是一边守着金库一边偷东西的人。”

三、USR稳定币机制本身埋下了什么雷？

与USDC的法币抵押、DAI的超额抵押不同，USR是对冲型稳定币。

USR稳定币的核心机制是抵押BTC等加密资产，同时在衍生品市场建立对冲空头头寸，形成“价格中性组合”。

由此产生的稳定币 USR 从结构上免受加密货币市场波动的影响，并且具有资本效率。这一设计通过将中心化金融和去中心化金融的风险隔离到一个独立的、高收益的代币 ——RLP（Resolv Liquidity Provider，流动性提供商）中来实现的。换句话说，风险敞口被代币化并提供给更广泛的市场。这种风险隔离使得USR能够完全由链上资产支持。但隐患在于强依赖“系统执行正确性”。

Resolv官网指出：RLP利用杠杆投资加密货币市场；可组合，集成于整个 DeFi 系统；起到保险层的作用，保护USR的稳定性。换言之：RLP是保险层，优先承担损失；USR是优先级资产，优先保证兑付。但这种机制只对市场风险有效，对本次无限增发式的问题无效。

因此，当黑客获取了私钥之后，即可无限增发 USR，导致供应失控并迅速脱锚。

四、为何历经12次审计，Resolv Labs依旧不安全？

Resolv Labs经历过12次审计，最近的一次是2026年1月，由MixBytes完成。“本次审计采用了人工代码审查、静态分析工具和安全最佳实践相结合的方式。我们仔细核对了详细的检查清单，涵盖了业务逻辑、常见的 ERC20 问题、与外部合约的交互、整数溢出、重入攻击、访问控制、类型转换陷阱、舍入误差以及其他潜在问题等各个方面……未发现任何漏洞。”

曾于去年7月对 Resolv 质押模块进行审计的安全公司 Pashov 指出：Resolv 的设计“很好”，根本原因“与其说是设计问题，不如说是私钥泄露”，这很可能是一个操作安全漏洞。“我们必须弄清楚这是怎么发生的。”

很明显，无论经过了多少次审计，审计的都是“代码安全”，而不是“运维安全”。没有审计团队关心私钥是否会泄露、权限被是否接管等问题。

谁持有管理员权限、是否冷存储、是否多签等问题均被忽视掉了。这直接导致了私钥泄露问题成为了最高安全风险事项。通过审计可以预知未来的代码风险，但无法预防私钥泄露、内部人员作恶、DevOps攻击等问题。代码或许是安全的，但系统运营本身是不安全的。

从Resolv Labs安全事件来看，当前DeFi的最大风险，已经从“智能合约漏洞”，转向了“权限与运维安全”。

Resolv Labs的12次审计

至于本次漏洞会对加密行业的影响，远不及去年Balancer被盗的杀伤力（Balancer被盗曾造成行情暴跌，BTC 24小时跌幅2.6%，ETH24小时跌幅5.6%）。

• 现任 Ledger 首席技术官指出：“考虑到此次发行的规模和USR的市值，这并非类似Terra Luna事件那样的重大事件。”

• DeFi资深用户社群@yieldsandmore指出：Resolv 的次级 RLP 部分可能出现损失，凸显了使用 RLP 作为抵押品的收益平台（如 Stream 和 yoUSD）可能产生的连锁反应。 根据现有数据，风险敞口似乎“相对集中在”借贷市场和杠杆循环中，“而不是系统范围内”，主要集中在将 USR、wstUSR 或 RLP 整合到借贷、杠杆或收益策略中的协议中。包括Euler、Venus、Lista和Fluid在内的几个交易平台已采取预防措施，例如暂停交易或隔离金库，而其他一些平台则宣布完全没有风险。“与其说是广泛蔓延，不如说风险是局部集中扩散，这种描述更为准确。”
  

另外，Polymarket上，在“稳定币在2027年之前脱钩？”的预测中，投注者对于USR的“期待值”彻底“拉满”。不知道在USR之后，下一个处于风口浪尖的是谁了……