作者：Coin Edition

Resolv Labs迅速采取行动，控制了一起威胁其USR稳定币生态系统的重大安全漏洞。事件起因是一名黑客……被利用由于铸造漏洞，大约生成了 8000 万枚 USR 代币，但未提供适当的抵押品。其中，约 3400 万枚 USR 代币立即以 11409 ETH 的价格售出。

此次泄露事件凸显了 Resolv 依赖链下基础设施进行授权的一个关键缺陷。

通过升级智能合约，Resolv Labs 成功销毁了黑客持有的约 3673 万枚 USR 代币，从而减轻了高达 3400 万美元的潜在经济损失。

Resolve Labs：漏洞是如何被利用的？

根据链式分析数据此次攻击源于Resolv的链下AWS密钥管理服务（KMS）中一个被泄露的特权密钥。攻击者利用该密钥操纵了USR代币的铸造过程，授权发行的USR代币数量远远超过了已存入的抵押品数量。

黑客最初存入的USDC金额相对较小，仅为10万至20万美元，但随后将其兑换成数千万枚无实物资产支持的USR代币。已确认两笔主要的铸造交易：一笔为5000万枚USR，另一笔为3000万枚USR。

攻击者随后将 USR 转换为包装质押 USR (wstUSR)，逐步将这些持有的 USR 兑换成其他稳定币，最终兑换成 ETH，总计约 2500 万美元。

大量未经核实的代币涌入，导致 USR 的价格暴跌，短短几小时内价值就缩水了 80%。此次攻击暴露了该协议的铸币系统缺乏上限和链上验证机制，完全依赖链下签名进行授权。

实时监控课程

此次漏洞利用凸显了实时链上监控的重要性，它能在异常活动升级之前将其检测出来。像 Hexagate 这样的工具本可以立即标记出不成比例的铸币比例，并暂停合约操作，从而防止大规模损失。

此外，由异常合约事件触发的自动响应机制本可以更有效地减轻损失。

尽管通过了 18 项安全审计，Resolv 的事件表明，当链下组件、特权密钥或云基础设施遭到破坏时，DeFi 协议仍然很脆弱。

这违反这提醒我们，强大的链上监控和快速响应机制对于保护复杂的 DeFi 生态系统中的资产至关重要。