Author：菠菜菠菜谈FinTech

核心摘要

• 攻击手法： 攻击者仅用约10万美元USDC，利用USR铸币函数中的关键漏洞——可能是预言机被操控、链下签名者密钥遭到泄露，或铸币请求与执行之间缺乏金额校验——凭空铸造了8000万枚USR（价值约8000万美元），随后迅速兑换为真实资产。

• 套利路径： 攻击者将非法铸造的USR分批抛售至Curve Finance等流动性池，导致USR价格最低跌至2.5美分，在脱锚混乱中累计套现约2500万美元，随后将套利所得转换为ETH完成洗出。

• 损失分配： 根据Resolv双层风险架构的设计逻辑，此次攻击造成的抵押品缺口首先由RLP保险池持有人承担（RLP价格将随协议资产净值下降），而USR持有人在协议暂停赎回前理论上受到保护；但Morpho等借贷协议上的USR杠杆循环仓位（Looping）因脱锚而遭遇强制平仓，造成二次损失。

• 连带协议： 主要受波及的DeFi协议包括：Curve Finance（USR/USDC流动性池瞬间崩溃）、Morpho（USR作为抵押品的杠杆仓位触发清算）、Fluid和Euler（同样存在USR/RLP循环仓位）。

• 行业警示： 此次事件揭示了Delta中性稳定币的一个根本性弱点——铸币逻辑与链下签名/预言机的耦合点是系统最脆弱的攻击面，任何"1元铸1元"的资本效率设计都必须以极度严苛的合约安全审计为前提。

一、RESOLV与USR：理解这个体系，才能理解这次攻击

在讨论攻击之前，我们必须先搞清楚USR是如何运作的——因为攻击者正是利用了其设计中最精妙也最脆弱的部分。

USR的核心机制：Delta中性稳定币

USR不是USDT那种由银行存款支撑的稳定币，也不是DAI那种超额抵押型稳定币。它是Delta中性稳定币——一种通过"一手持有ETH现货+一手做空ETH永续合约"来实现净风险中性的架构[注1]。

逻辑如下：当你存入1美元的ETH铸造1枚USR时，Resolv协议同步在永续合约市场开等量的ETH空头仓位。ETH涨了，现货赚钱，合约亏钱；ETH跌了，合约赚钱，现货亏钱——两相抵消，净资产始终约等于1美元。这使得USR与ETH价格脱钩，同时又保持了1:1的美元锚定[注2]。

这套架构的优势是资本效率极高：你只需要1美元的ETH就能铸造1枚USR，无需超额抵押。收益来源则是对冲仓位的资金费率（多头支付给空头的费用）以及ETH质押收益，USR持有人因此能获得约5-6%的年化收益，质押版本的stUSR利率还更高[注3]。

双层架构：USR与RLP的风险隔离

Resolv为了解决"谁来承担协议运营风险"的问题，设计了双层代币结构：

• USR层（优先级高）：持有人享有稳定的锚定保护，损失不由其承担；

• RLP层（劣后层）：RLP持有人充当协议的"保险池"，承担市场风险、交易对手风险（如资金费率持续为负）以及潜在的合约风险，作为补偿获得更高收益（20-40%年化）[注4]。

规则很清楚：任何损失，先扣RLP，再扣USR。 当USR的抵押率降至110%以下时，RLP赎回将被自动冻结，优先保障USR持有人[注5]。

这是理解此次攻击损失分配的关键前提。

二、攻击全程复盘：一场17分钟的精准洗劫

timeline
    title Resolv USR攻击时间线（UTC，2026年3月某周日）
    攻击准备 : 攻击者准备约10万美元USDC作为初始资金
    02:21 UTC : 攻击者首次调用铸币函数，仅用10万USDC铸造5000万枚USR
    02:38 UTC : USR在Curve Finance的USR/USDC池价格跌至谷底：0.025美元（面值2.5美分）
    攻击持续 : 攻击者再次操作，额外铸造3000万枚USR
    退出阶段 : 攻击者将8000万枚USR拆分至多个协议，兑换为USDC/USDT后转换为ETH
    几小时后 : USR价格部分回升至约0.87美元，仍有约13%的脱锚幅度

攻击核心：铸币函数到底出了什么问题？

这是目前最关键、也是信息最不完整的一环。链上数据已经证实了一件事：攻击者用10万美元的USDC"买到"了价值5000万美元的USR[1]。这个1:500的铸造比例意味着合约的铸币金额校验彻底失效了。

加密基金D2 Finance给出了三种可能的攻击路径假说[注9]：

假说A：预言机被操控（Oracle Manipulation）。USR的铸造价格依赖于价格预言机。如果攻击者能在一笔交易中临时压低预言机报价（例如通过闪电贷砸盘），让合约以为用户存入的资产价值更高，就能铸造出超额的USR[注6]。

假说B：链下签名者密钥泄露（Off-Chain Signer Compromise）。Resolv的铸造流程包含一个链下签名验证环节——用户的铸造请求需要经过协议的后端服务签名才能执行。如果这个签名密钥被盗，攻击者可以伪造任意金额的合法铸造指令，绕过所有链上限制[2]。

假说C：请求与执行之间的金额校验缺失（Validation Gap）。铸造流程分为"发起请求"和"执行铸造"两步。如果合约在执行时没有严格检验最终执行金额是否与请求金额一致，攻击者可能在发起请求后、执行前对参数进行篡改，实现超额铸造。

截至报告撰写时，Resolv官方尚未公布完整的漏洞根因分析（RCA），因此上述三种假说的优先级尚无法最终确认。

从攻击效果判断，假说B（签名者密钥泄露）或假说C（验证逻辑缺失）的可能性更高——因为预言机操控通常需要大量资金且难以实现如此极端的价格偏差；而8000万枚USR被铸造时，攻击者实际投入的资金极其有限，更符合"绕过合约校验"的特征。

攻击者如何套现：一个教科书级的DeFi出逃剧本

攻击者拿到8000万枚USR后，面临的挑战是：如何把虚假铸造的稳定币转化为真实价值？

D2 Finance称之为"教科书级DeFi黑客套现路径"：攻击者将USR分批发送至多个流动性协议，优先在Curve Finance的USR/USDC池（USR最大的流动性池，日交易量360万美元）大量抛售[注10]。

因为Curve的流动性是有限的，当8000万枚USR突然涌入时，池子被彻底砸穿——USR价格在17分钟内从1美元跌至2.5美分。攻击者并非期望以1美元全部出售，而是在0.25美元~0.5美元的区间内逐步兑换为USDC/USDT，最终将套利资金转为ETH完成洗出。

PeckShield估算，最终套现金额约为2500万美元[注11]——考虑到大量USR在极低价格区间出售造成的滑点损失，这一数字意味着攻击者的实际提取比率约为30%（2500万/8000万）。其余7成的"价值"消失在了流动性耗尽的巨大滑点中。

三、脱锚之后：USR、RLP与抵押体系发生了什么

USR的抵押率瞬间崩塌

正常运行时，USR是1:1由ETH+对冲仓位支撑的。但在8000万枚无抵押USR被铸入系统后，整个USR供应量对应的真实资产远不足以1:1赎回——抵押率大幅跌破100%。

这直接触发了RLP层的保护机制——协议理论上会冻结RLP赎回，优先保护USR持有人。但与此同时，由于USR自身已脱锚（在二级市场交易价格约0.87美元），USR持有人也面临市价出售的损失。

借贷协议的级联清算

这是此次事件中最被低估的连带损害之一。

Resolv的增长很大程度上依赖一种策略：用户将USR作为抵押品存入Morpho、Fluid、Euler等借贷协议，借出USDC，再买入更多USR，循环往复，形成杠杆循环仓（Looping），有些用户的杠杆倍率高达10倍[3]。

当USR价格从1美元骤跌至0.87美元乃至更低时，这些杠杆仓位的抵押品价值瞬间蒸发了13%+。由于借贷协议会在抵押率跌破清算线时自动强制平仓，大量USR被机器人清算，将更多USR抛入二级市场，进一步压低价格——形成经典的死亡螺旋压力[注7]。

Morpho上有专门的"MEV Capital Resolv USR Vault"，TVL在攻击前已达到相当规模，这些仓位是连带损害的主要承受者[4]。

协议TVL的急剧萎缩

Resolv在攻击前的TVL已增长至数亿美元量级（曾峰值逾6.5亿美元，主要由Morpho和Euler上的杠杆仓位驱动）。协议暂停后，用户无法赎回USR，TVL数字的计算也因USR价格脱锚而陷入混乱[5]。

四、损失谁来承担？各方风险敞口解析

RLP持有人是设计上的第一损失层。攻击造成的抵押品缺口（8000万无抵押USR被铸造）将直接反映为RLP净值的下降——RLP的价格是协议超额抵押部分的权益凭证，当协议整体出现未覆盖的债务时，RLP首先贬值[6]。

USR杠杆仓位持有人是实际损失最重的一类。他们不仅面临被清算（清算通常伴随5-10%的罚金），还在USR脱锚期间以低于锚定价格出售了持仓，叠加损失不可避免。

Curve LP流动性提供者承担了无常损失——当攻击者大量售出USR时，LP的池子从"50%USR/50%USDC"被动地吸收了大量USR（卖出了USDC，持有了更多低价USR），形成套利性损失[注8]。

普通USR持有人：根据设计，若协议正常触发暂停机制，USR持有人能以剩余真实抵押品1:1赎回。但问题在于：攻击发生后协议已暂停所有功能，赎回窗口关闭，实际出售者只能以0.87美元的市价成交，承担13%的脱锚损失。

五、应急响应：RESOLV团队的处置措施

Resolv团队的第一反应是立即暂停全部协议功能，包括铸造、赎回和转账，以切断攻击者的进一步操作通道[1]。

截至报告撰写时，Resolv已公开确认了攻击的发生，但完整的事后分析报告（Post-Mortem）和正式补偿方案尚未发布。这符合DeFi安全事件的典型处置时序——团队通常需要48-72小时完成链上取证和漏洞确认后，才会公布详细的补救方案。

值得关注的是，Resolv此前已与Immunefi合作设立了漏洞赏金计划，并部署了Hypernative的主动安全监控系统[7]。后者理论上应该能够捕捉到异常铸造事件的预警信号——这引发了一个问题：预警系统是否及时触发，还是攻击速度已经超过了人工干预的窗口？

从USR在17分钟内崩至2.5美分的极端速度来看，攻击执行效率极高，反应时间窗口非常有限。

六、同类协议的警示：DELTA中性稳定币的系统性风险

这次Resolv事件不是孤立的，它是DeFi"合成美元"赛道上一次具有典型示范意义的失败。

核心教训一：链下签名者是中心化的危险。Delta中性稳定币为了实现高效铸造，通常引入链下后端服务进行订单验证。这个"链下组件"本质上是一个中心化的权力节点——如果其私钥泄露，攻击者相当于获得了协议的铸币权。这是把Web2的安全弱点引入了Web3[8]。

核心教训二："1:1资本效率"是把双刃剑。超额抵押系统（如MakerDAO）的设计哲学是，即使合约有小漏洞，超额的缓冲抵押也能吸收一部分损失。Delta中性系统把缓冲归零——任何铸造逻辑的失效，都会直接造成等比例的系统缺口，没有冗余。

核心教训三：TVL快速增长时审计跟不上。Resolv从不到5000万美元的TVL在三个月内增长至6.5亿美元以上，主要驱动力是Morpho上的杠杆循环策略。系统复杂度和集成点的急速扩张，给审计形成了巨大压力。类似的教训在DeFi历史上屡见不鲜：Euler Finance（2023年3月，1.97亿美元损失）、Inverse Finance（2022年4月，1560万美元）都是"设计上合理但铸币/借贷逻辑存在细节漏洞"的悲剧[9]。

七、核心结论

这次攻击揭示的，不仅是一个合约漏洞，而是Delta中性稳定币赛道在架构层面的一个深层矛盾。

故事的起点是USR的设计雄心：不依赖法币储备、不依赖超额抵押，只靠对冲衍生品实现1:1的资本效率。这一设计在上行阶段逻辑完美——用户用1美元ETH铸造1枚USR，协议用资金费率回报用户，数亿美元的TVL快速聚集。

但"1:1的资本效率"同时意味着系统完全没有抵押缓冲。一旦铸币逻辑出现漏洞——无论是链下签名者密钥泄露，还是请求与执行之间的校验缺失——攻击者能用近乎零成本造出任意数量的稳定币。这不像超额抵押系统那样还有一个安全垫，而是直接穿透系统。

8000万枚USR的诞生，只用了10万美元、17分钟、2.5美分的价格谷底。攻击者提走了2500万美元真实价值，留给协议的是一个等待修复的黑洞——以及一份由RLP持有人、杠杆仓位用户、Curve LP共同撰写的、付出真实成本的账单。

Curve、Morpho、Fluid、Euler这些周边协议的连带损害，则是DeFi世界"超级可组合性"（Hypercomposability）的另一面：协议之间的集成在正常时期放大了收益，在危机时期同样放大了风险。

最终，这件事的警示意义在于：在DeFi里，你敞开的每一个效率窗口，就是你暴露的每一个攻击面。 链下签名者的存在让协议更灵活，但也让协议多了一个中心化的致命弱点。当Resolv的团队修复漏洞、重新开放协议时，这个权衡本身就值得每一个同类协议认真重新审视。