CoinFubi

2026年3月22日，Resolv DeFi 协议强调，在 DeFi 领域安全假设可能会多快失效。攻击者铸造数千万 USR，并提取约 $25 million，导致代币锚定急剧脱锚，迫使协议暂停运营。此事件并非典型的智能合约漏洞利用；代码按设计运行，暴露出链外基础设施的脆弱性。随着 DeFi 越来越依赖外部服务、特权密钥和云基础设施，攻击面已远超区块链本身。

攻击者起步于约 $100K–$200K 的 USDC 存款，并利用它与 Resolv 的 USR 铸币系统互动。通常，USDC 存款会产生等量的 USR，但这次铸币数量约为 80,000,000 USR，远超存款。铸币批准取决于一个链外服务，该服务使用特权私钥来授权可以创建多少 USR，而链上合约在签名有效性之外并未强制设定最高铸币限额。大量未抵押的 USR 湧入市场，导致锚定价崩塌，最低跌至约 $0.20，随后又回升至约 $0.56。

攻击发生后，Resolv Labs 暂停了所有协议功能，并开启了漏洞调查。尽管采取了广泛的安全措施并完成了 18 次审计，但这一事件凸显出链上合约可以很安全，而更广义的系统设计和链下基础设施可能潜藏关键漏洞。如今，实时监控和自动化响应机制成为必要，因为漏洞可能在数分钟内发生，给反应留给的时间极少。