Resolv Labs 合約升級，強制銷毀 3673 萬枚駭客 USR

加密協議 Resolv Labs 於 4 月 6 日透過智慧合約升級，強制銷毀攻擊者地址中持有的 3,673 萬枚 USR 穩定幣，此為 3 月 22 日鑄幣漏洞攻擊事件後的最新處置進展。攻擊者利用洩漏的鏈下 AWS 金鑰管理服務私鑰，以不足 20 萬美元的初始抵押品鑄造 8,000 萬枚無擔保 USR。

攻擊復盤：洩漏的 AWS 金鑰如何引發系統性損失

根據 Chainalysis 分析，此次攻擊的核心入口為 Resolv 鏈下授權基礎設施中一枚外洩的 AWS KMS（金鑰管理服務）私鑰。攻擊者利用此金鑰繞過鑄幣授權機制，在鏈上完成兩筆主要鑄造交易：5,000 萬枚 USR 與 3,000 萬枚 USR，初始抵押僅為 10 萬至 20 萬美元的 USDC。

攻擊的資金轉換路徑

鑄造：以不足 20 萬美元抵押品鑄造 8,000 萬枚無擔保 USR

轉換：將 USR 包裝為 wstUSR（包裝質押版），逐步兌換為其他穩定幣

套現：最終轉換為約 11,409 枚 ETH，價值約 2,448 萬美元

價格衝擊：大量無擔保代幣湧入 DeFi 流動性池，USR 一度暴跌至 0.14 美元

Chainalysis 指出，此攻擊的根本缺陷在於 Resolv 的鑄幣系統缺乏鏈上鑄幣上限與鏈上驗證機制，完全依賴鏈下簽名進行授權，一旦私鑰外洩即形成系統性敞口。

Resolv Labs 的應對行動：合約升級與損失邊界確認

（來源：Etherscan）

鏈上分析師餘燼（Yu Jin）監測到，Resolv Labs 於 4 月 6 日透過合約升級，從攻擊者地址強制銷毀 3,673 萬枚 USR。結合此前處置行動，Resolv 團隊透過多次合約升級共從攻擊者地址移除約 4,600 萬枚 USR。

然而，已由攻擊者以 ETH 形式提取的部分無法追回，協議最終確認的實際經濟損失約為 3,400 萬美元。Resolv Labs 強調，儘管漏洞導致 8,000 萬枚 USR 遭超量鑄造，協議的抵押池「依然完好無損」。

此次事件也揭示了特權合約控制機制的雙重性——同一套升級權力既可被攻擊者用於引發危機，亦可被協議方用於緊急止損。這一特性對名義上以去中心化為訴求的 DeFi 協議而言，構成長期治理風險。

DeFi 安全警示：鏈下基礎設施是下一個主要攻擊面

儘管 Resolv 通過了 18 次安全審計，鏈下 AWS 基礎設施的防護缺陷仍造成規模性損失，凸顯當前 DeFi 安全審計範疇的結構性盲點。

安全研究者指出，若部署了 Hexagate 等即時鏈上監控工具，異常鑄幣比例本可在早期被自動標記並暫停合約執行，從而顯著縮小損失規模。此次事件的核心啟示在於：DeFi 協議的安全框架必須將後端金鑰輪換機制、雲端基礎設施訪問控制，以及異常交易自動熔斷機制，納入與智慧合約審計同等優先級的防護體系。

常見問題

Resolv Labs 是如何強制銷毀駭客持有的 USR 的？

Resolv Labs 透過智慧合約升級機制，對攻擊者地址執行強制代幣銷毀操作。此行動依賴協議的特權管理者權限，無需攻擊者同意即可在鏈上執行，為中心化緊急應對措施。

此次 Resolv 漏洞的實際損失金額為何？

攻擊者已將約 3,400 萬枚 USR 兌換為 11,409 枚 ETH（約 2,448 萬美元）並轉移，此部分無法追回。協議確認的實際淨損失約為 3,400 萬美元，Resolv Labs 銷毀的 3,673 萬枚 USR 為攻擊者尚未套現的剩餘持倉。

此次攻擊對 USR 錨定機制造成哪些影響？

攻擊發生後 USR 一度暴跌至 0.14 美元，在 0.23 至 0.27 美元區間波動後逐步回升。Resolv Labs 表示抵押池完好，但此次事件已對市場對 USR 錨定可信度造成結構性衝擊，並促使協議暫停運營並推出恢復計劃。