Resolv Labs 遭受攻击，DeFi 项目再次被利用

Resolv Labs，使用中立Delta策略发行稳定币USR的单位，遭遇攻击。一地址以0x04A2开头，通过Resolv Labs协议用100,000 USDC生成了5000万USR。事件曝光后，USR价格立即下跌至约0.25美元，随后在撰写本文时回升至约0.80美元。RESOLV代币的价格也在短时间内下跌近10%。

随后，黑客使用类似方法，用100,000 USDC生成了3000万USR。当USR大幅贬值后，套利者迅速行动，许多支持USR、wstUSR及其他抵押资产的借贷市场几乎枯竭。链上BNB的Lista DAO也暂停了新借请求。

这些借贷协议并非唯一受影响的。Resolv Labs协议还允许用户创建RLP代币，带来更大的价格波动和更高的利润，但也使他们对由协议产生的亏损承担法律责任。目前，流通中的RLP代币近3000万，其中Stream Finance持有超过1300万，代表约1700万美元的净风险。没错，曾因xUSD遭受重大损失的Stream Finance，可能即将再次遭受冲击。

截至撰写时，黑客已将USR兑换成USDC和USDT，并持续购买以太坊，已购入超过1万ETH。用20万USDC，黑客已回收超过2000万美元资产，在熊市中找到了“百倍盈利的币种”。再次，漏洞被利用，源于“缺乏严密性”。

去年10月11日的剧烈下跌，导致许多采用Delta中立策略发行的稳定币因ADL（自动减杠杆）而亏损抵押资产。一些使用山寨币作为资产的项目亏损更大，甚至有项目完全消失。

此次被攻击的Resolv Labs也采用类似机制发行USR。该项目在2025年4月宣布完成由Cyber.Fund和Maven11领投的1000万美元种子轮融资，Coinbase Ventures参与，并于5月末和6月初推出RESOLV代币。

但Resolv Labs被攻击的原因并非市场环境恶劣，而是因为USR生成机制“缺乏严密性”。目前尚无安全公司或官方机构分析此次攻击的具体原因。DeFi社区YAM成员的初步分析显示，攻击可能源于黑客控制了SERVICE_ROLE权限，该权限在协议的辅助部分用于提供参数给加密货币合约。

Grok的分析指出，用户创建USR时，会在链上发起请求并调用合约的requestMint函数，参数包括：
_depositTokenAddress：存入的代币地址；
_amount：存入的数量；
_minMintAmount：预期最小获得的USR数量（滑点控制）。

随后，用户向合约提交USDC或USDT。项目的辅助权限SERVICE_ROLE会监控请求，利用Pyth预言机检查已存资产的价值，然后调用completeMint或completeSwap确认实际生成的USR数量。

问题在于，合约完全信任由SERVICE_ROLE提供的mintAmount，假设该数值已由链外的Pyth验证。因此，没有设置上限或用链上预言机进行二次验证，而是直接执行mint(_mintAmount)。

基于此，YAM怀疑黑客控制了SERVICE_ROLE权限，原本应由项目团队掌控（可能因内部预言机系统故障、内部盗窃或密钥被盗），并在生成虚假资产时将_mintAmount设为5000万，从而用100,000 USDC制造出5000万USR。

最终，Grok总结，Resolv未考虑到在设计协议时，接收USR创建请求的地址（或合约）可能被黑客控制的风险。当USR创建请求发到最终生成USR的合约时，没有设置最大生成量，也未用链上预言机进行二次验证，而是完全信任SERVICE_ROLE提供的参数。

预防措施也不充分。除了推测攻击原因外，YAM还指出项目团队在应对危机方面准备不足。YAM在X（前Twitter）上表示，Resolv Labs在最初攻击后仅暂停协议三小时，其中约一小时用于收集四个多签签名。YAM认为，紧急暂停应只需一个签名，这一权限应交由团队成员或可信赖的外部运营方掌控，以增强对链上异常的感知、提升快速暂停能力，并更好覆盖不同时区。

虽然只用一个签名暂停协议的建议略显激进，但要求多个不同地区的签名才能暂停，确实可能在紧急情况下造成延误。引入可信第三方持续监控链上行为，或使用具有紧急暂停权限的监控工具，也是此次事件的教训。

黑客对DeFi协议的攻击早已局限于合约漏洞。Resolv Labs事件是对项目方的警示：假设协议的安全性不应依赖任何部分，所有参数相关的链接都必须经过至少两次验证，即使是由项目团队自己运营的服务器也不例外。