原文作者:菠菜菠菜(X:@bocaibocai_)
核心摘要
攻击手法: 攻击者仅用约10万美元USDC,利用USR铸币函数中的关键漏洞——可能是预言机被操控、链下签名者密钥遭到泄露,或铸币请求与执行之间缺乏金额校验——凭空铸造了8000万枚USR(价值约8000万美元),随后迅速兑换为真实资产。
套利路径: 攻击者将非法铸造的USR分批抛售至Curve Finance等流动性池,导致USR价格最低跌至2.5美分,在脱锚混乱中累计套现约2500万美元,随后将套利所得转换为ETH完成洗出。
损失分配: 根据Resolv双层风险架构的设计逻辑,此次攻击造成的抵押品缺口首先由RLP保险池持有人承担(RLP价格将随协议资产净值下降),而USR持有人在协议暂停赎回前理论上受到保护;但Morpho等借贷协议上的USR杠杆循环仓位(Looping)因脱锚而遭遇强制平仓,造成二次损失。
连带协议: 主要受波及的DeFi协议包括:Curve Finance(USR/USDC流动性池瞬间崩溃)、Morpho(USR作为抵押品的杠杆仓位触发清算)、Fluid和Euler(同样存在USR/RLP循环仓位)。
行业警示: 此次事件揭示了Delta中性稳定币的一个根本性弱点——铸币逻辑与链下签名/预言机的耦合点是系统最脆弱的攻击面,任何”1元铸1元”的资本效率设计都必须以极度严苛的合约安全审计为前提。
一、RESOLV 与 USR:理解这个体系,才能理解这次攻击
在讨论攻击之前,我们必须先搞清楚USR是如何运作的——因为攻击者正是利用了其设计中最精妙也最脆弱的部分。
USR的核心机制:Delta中性稳定币
USR不是USDT那种由银行存款支撑的稳定币,也不是DAI那种超额抵押型稳定币。它是Delta中性稳定币——一种通过”一手持有ETH现货+一手做空ETH永续合约”来实现净风险中性的架构[注1]。
逻辑如下:
当你存入1美元的ETH铸造1枚USR时,Resolv协议同步在永续合约市场开等量的ETH空头仓位。ETH涨了,现货赚钱,合约亏钱;ETH跌了,合约赚钱,现货亏钱——两相抵消,净资产始终约等于1美元。这使得USR与ETH价格脱钩,同时又保持了1:1的美元锚定[注2]。
这套架构的优势是资本效率极高:你只需要1美元的ETH就能铸造1枚USR,无需超额抵押。收益来源则是对冲仓位的资金费率(多头支付给空头的费用)以及ETH质押收益,USR持有人因此能获得约5-6%的年化收益,质押版本的stUSR利率还更高[注3]。
双层架构:USR与RLP的风险隔离
Resolv为了解决”谁来承担协议运营风险”的问题,设计了双层代币结构:
USR层(优先级高):持有人享有稳定的锚定保护,损失不由其承担;
RLP层(劣后层):RLP持有人充当协议的”保险池”,承担市场风险、交易对手风险(如资金费率持续为负)以及潜在的合约风险,作为补偿获得更高收益(20-40%年化)[注4]。
规则很清楚:任何损失,先扣RLP,再扣USR。 当USR的抵押率降至110%以下时,RLP赎回将被自动冻结,优先保障USR持有人[注5]。
这是理解此次攻击损失分配的关键前提。
攻击核心:铸币函数到底出了什么问题?
这是目前最关键、也是信息最不完整的一环。链上数据已经证实了一件事:攻击者用10万美元的USDC”买到”了价值5000万美元的USR[1]。这个1:500的铸造比例意味着合约的铸币金额校验彻底失效了。
加密基金D2 Finance给出了三种可能的攻击路径假说[注9]:
假说A:预言机被操控(Oracle Manipulation)。USR的铸造价格依赖于价格预言机。如果攻击者能在一笔交易中临时压低预言机报价(例如通过闪电贷砸盘),让合约以为用户存入的资产价值更高,就能铸造出超额的USR[注6]。
假说B:链下签名者密钥泄露(Off-Chain Signer Compromise)。Resolv的铸造流程包含一个链下签名验证环节——用户的铸造请求需要经过协议的后端服务签名才能执行。如果这个签名密钥被盗,攻击者可以伪造任意金额的合法铸造指令,绕过所有链上限制[2]。
假说C:请求与执行之间的金额校验缺失(Validation Gap)。铸造流程分为”发起请求”和”执行铸造”两步。如果合约在执行时没有严格检验最终执行金额是否与请求金额一致,攻击者可能在发起请求后、执行前对参数进行篡改,实现超额铸造。
截至报告撰写时,Resolv官方尚未公布完整的漏洞根因分析(RCA),因此上述三种假说的优先级尚无法最终确认。
从攻击效果判断,假说B(签名者密钥泄露)或假说C(验证逻辑缺失)的可能性更高——因为预言机操控通常需要大量资金且难以实现如此极端的价格偏差;而8000万枚USR被铸造时,攻击者实际投入的资金极其有限,更符合”绕过合约校验”的特征。
攻击者如何套现:一个教科书级的DeFi出逃剧本
攻击者拿到8000万枚USR后,面临的挑战是:如何把虚假铸造的稳定币转化为真实价值?
D2 Finance称之为”教科书级DeFi黑客套现路径”:攻击者将USR分批发送至多个流动性协议,优先在Curve Finance的USR/USDC池(USR最大的流动性池,日交易量360万美元)大量抛售[注10]。
因为Curve的流动性是有限的,当8000万枚USR突然涌入时,池子被彻底砸穿——USR价格在17分钟内从1美元跌至2.5美分。攻击者并非期望以1美元全部出售,而是在0.25美元~0.5美元的区间内逐步兑换为USDC/USDT,最终将套利资金转为ETH完成洗出。
PeckShield估算,最终套现金额约为2500万美元[注11]——考虑到大量USR在极低价格区间出售造成的滑点损失,这一数字意味着攻击者的实际提取比率约为30%(2500万/8000万)。其余7成的”价值”消失在了流动性耗尽的巨大滑点中。
三、脱锚之后:USR、RLP 与抵押体系发生了什么
USR 的抵押率瞬间崩塌
正常运行时,USR是1:1由ETH+对冲仓位支撑的。但在8000万枚无抵押USR被铸入系统后,整个USR供应量对应的真实资产远不足以1:1赎回——抵押率大幅跌破100%。
这直接触发了RLP层的保护机制——协议理论上会冻结RLP赎回,优先保护USR持有人。但与此同时,由于USR自身已脱锚(在二级市场交易价格约0.87美元),USR持有人也面临市价出售的损失。
借贷协议的级联清算
这是此次事件中最被低估的连带损害之一。
Resolv的增长很大程度上依赖一种策略:用户将USR作为抵押品存入Morpho、Fluid、Euler等借贷协议,借出USDC,再买入更多USR,循环往复,形成杠杆循环仓(Looping),有些用户的杠杆倍率高达10倍[3]。
当USR价格从1美元骤跌至0.87美元乃至更低时,这些杠杆仓位的抵押品价值瞬间蒸发了13%+。由于借贷协议会在抵押率跌破清算线时自动强制平仓,大量USR被机器人清算,将更多USR抛入二级市场,进一步压低价格——形成经典的死亡螺旋压力[注7]。
Morpho上有专门的”MEV Capital Resolv USR Vault”,TVL在攻击前已达到相当规模,这些仓位是连带损害的主要承受者[4]。
协议 TVL 的急剧萎缩
Resolv在攻击前的TVL已增长至数亿美元量级(曾峰值逾6.5亿美元,主要由Morpho和Euler上的杠杆仓位驱动)。协议暂停后,用户无法赎回USR,TVL数字的计算也因USR价格脱锚而陷入混乱[5]。
四、损失谁来承担?各方风险敞口解析
RLP持有人是设计上的第一损失层。攻击造成的抵押品缺口(8000万无抵押USR被铸造)将直接反映为RLP净值的下降——RLP的价格是协议超额抵押部分的权益凭证,当协议整体出现未覆盖的债务时,RLP首先贬值[6]。
USR杠杆仓位持有人是实际损失最重的一类。他们不仅面临被清算(清算通常伴随5-10%的罚金),还在USR脱锚期间以低于锚定价格出售了持仓,叠加损失不可避免。
Curve LP流动性提供者承担了无常损失——当攻击者大量售出USR时,LP的池子从”50%USR/50%USDC”被动地吸收了大量USR(卖出了USDC,持有了更多低价USR),形成套利性损失[注8]。
普通USR持有人:根据设计,若协议正常触发暂停机制,USR持有人能以剩余真实抵押品1:1赎回。但问题在于:攻击发生后协议已暂停所有功能,赎回窗口关闭,实际出售者只能以0.87美元的市价成交,承担13%的脱锚损失。
五、应急响应:RESOLV 团队的处置措施
Resolv团队的第一反应是立即暂停全部协议功能,包括铸造、赎回和转账,以切断攻击者的进一步操作通道[1]。
截至报告撰写时,Resolv已公开确认了攻击的发生,但完整的事后分析报告(Post-Mortem)和正式补偿方案尚未发布。这符合DeFi安全事件的典型处置时序——团队通常需要48-72小时完成链上取证和漏洞确认后,才会公布详细的补救方案。
值得关注的是,Resolv此前已与Immunefi合作设立了漏洞赏金计划,并部署了Hypernative的主动安全监控系统[7]。后者理论上应该能够捕捉到异常铸造事件的预警信号——这引发了一个问题:预警系统是否及时触发,还是攻击速度已经超过了人工干预的窗口?
从USR在17分钟内崩至2.5美分的极端速度来看,攻击执行效率极高,反应时间窗口非常有限。
六、同类协议的警示:DELTA 中性稳定币的系统性风险
这次Resolv事件不是孤立的,它是DeFi”合成美元”赛道上一次具有典型示范意义的失败。
核心教训一:链下签名者是中心化的危险。Delta中性稳定币为了实现高效铸造,通常引入链下后端服务进行订单验证。这个”链下组件”本质上是一个中心化的权力节点——如果其私钥泄露,攻击者相当于获得了协议的铸币权。这是把Web2的安全弱点引入了Web3[8]。
核心教训二:”1:1资本效率”是把双刃剑。超额抵押系统(如MakerDAO)的设计哲学是,即使合约有小漏洞,超额的缓冲抵押也能吸收一部分损失。Delta中性系统把缓冲归零——任何铸造逻辑的失效,都会直接造成等比例的系统缺口,没有冗余。
核心教训三:TVL快速增长时审计跟不上。Resolv从不到5000万美元的TVL在三个月内增长至6.5亿美元以上,主要驱动力是Morpho上的杠杆循环策略。系统复杂度和集成点的急速扩张,给审计形成了巨大压力。类似的教训在DeFi历史上屡见不鲜:Euler Finance(2023年3月,1.97亿美元损失)、Inverse Finance(2022年4月,1560万美元)都是”设计上合理但铸币/借贷逻辑存在细节漏洞”的悲剧[9]。
七、核心结论
这次攻击揭示的,不仅是一个合约漏洞,而是Delta中性稳定币赛道在架构层面的一个深层矛盾。
故事的起点是USR的设计雄心:不依赖法币储备、不依赖超额抵押,只靠对冲衍生品实现1:1的资本效率。这一设计在上行阶段逻辑完美——用户用1美元ETH铸造1枚USR,协议用资金费率回报用户,数亿美元的TVL快速聚集。
但”1:1的资本效率”同时意味着系统完全没有抵押缓冲。一旦铸币逻辑出现漏洞——无论是链下签名者密钥泄露,还是请求与执行之间的校验缺失——攻击者能用近乎零成本造出任意数量的稳定币。这不像超额抵押系统那样还有一个安全垫,而是直接穿透系统。
8000万枚USR的诞生,只用了10万美元、17分钟、2.5美分的价格谷底。攻击者提走了2500万美元真实价值,留给协议的是一个等待修复的黑洞——以及一份由RLP持有人、杠杆仓位用户、Curve LP共同撰写的、付出真实成本的账单。
Curve、Morpho、Fluid、Euler这些周边协议的连带损害,则是DeFi世界”超级可组合性”(Hypercomposability)的另一面:协议之间的集成在正常时期放大了收益,在危机时期同样放大了风险。最终,这件事的警示意义在于:在DeFi里,你敞开的每一个效率窗口,就是你暴露的每一个攻击面。 链下签名者的存在让协议更灵活,但也让协议多了一个中心化的致命弱点。
注释
[注1]Delta中性(Delta Neutral):金融衍生品术语。Delta衡量资产价格对底层资产价格变动的敏感度。”Delta=0″意味着持仓不随底层资产价格涨跌而盈亏——即已充分对冲。对于Resolv来说,持有1美元ETH(Delta=+1)同时做空等量ETH期货(Delta=-1),净Delta=0,故称”Delta中性”。
[注2]永续合约(Perpetual Futures):一种没有到期日的期货合约,是加密货币市场的主流衍生品工具。持有空头永续合约意味着:ETH价格下跌时盈利,上涨时亏损,从而对冲现货ETH的价格风险。
[注3]资金费率(Funding Rate):永续合约市场的平衡机制。当多头仓位多于空头仓位时,多头定期向空头支付”资金费”,反之亦然。Resolv作为空头方,在牛市偏多的加密市场中通常能持续收取资金费,这是其核心收益来源。
[注4]劣后层(Junior Tranche):金融分层结构中,劣后层投资者在损失发生时最先受损(相当于”第一亏损人”),但在收益分配时也能获得更高的风险溢价补偿。RLP相当于Resolv协议的劣后层,USR相当于优先层。
[注5]110%抵押率触发线:即USR的全量抵押资产价值是USR总流通量的1.1倍。低于此线时,RLP赎回被暂停,确保剩余资产优先供USR持有人赎回使用。
[注6]闪电贷(Flash Loan):DeFi特有的无抵押借款工具,要求在同一笔交易(同一个区块)内完成借款与还款。攻击者可借此临时获得大量资金来操控价格,只要交易结束前还清即可,几乎无资金成本。
[注7]死亡螺旋(Death Spiral):去杠杆过程中的自我强化崩溃:资产价格下跌→触发清算→更多资产被抛售→价格进一步下跌→触发更多清算,如此循环。
[注8]无常损失(Impermanent Loss):自动做市商(AMM)流动性提供者面临的特有风险。当池子中两种资产的价格比例偏离初始状态时,LP的资产组合价值会低于直接持有两种资产的价值,这个差值即无常损失。
[注9]D2 Finance / CoinTelegraph分析,引用D2 Finance评论:”Either the oracle was gamed, the off-chain signer was compromised, or the amount validation between request and completion is simply missing.” 同上来源。
[注10]CoinTelegraph报道,USR在Curve USR/USDC池24小时交易量360万美元,价格于2:38 UTC跌至2.5美分。
[注11]PeckShield估算数据,引用自CoinTelegraph同上来源:”PeckShield estimated that the attacker was able to extract around $25 million from the attack amid USR’s depeg.”
