CoinFubi

周末，发行 USR 稳定币的加密协议 Resolv 遭到攻击者利用，攻击者在仅以数十万美元的抵押品的情况下铸造近 80 million 枚新 USR 代币。攻击者获得了与该协议的集中式后端控制铸币相关的私钥。Resolv Labs，即该项目背后的公司，周日通过 X 公布此次被攻击事件，并表示将“通过一切可用途径追回资产并追究责任人”。

链上追踪数据表明，近$25 million 已被转换成 ether，作为以太坊网络的原生加密货币，这使追回资金变得不切实际，因为 ether 是加密货币原生且不受中心化控制。USR 旨在实现与美元的一对一锚定交易，但 CoinGecko 的数据表明，在发行数千万枚无背书的 USR 代币后，该代币的交易价格低于 $0.25。攻击者入侵了 Resolv 的云基础设施，获得了 Resolv 的 AWS Key Management Service (KMS) 环境的访问权限，该环境存放着协议的特权签名密钥。

在获得对 KMS 环境的控制后，攻击者能够使用 Resolv 自身的铸币密钥来授权他们选择的任何铸币操作。暴露出的私钥是主要问题源头，负责铸造新 USR 代币的智能合约没有任何硬编码的最大发行量检查。这样的防护措施本来可能限制损失，EtherScan 的数据表明，攻击发生时稳定币的总发行量大约增加了 70%。

此次事件凸显了加密基础设施的中心化问题，包括对基于 AWS 的系统的依赖，以及关键流程中的去中心化程度不足。去中心化常被吹捧，但此次事件更像是营销作秀，因为稳定币作为由传统金融机构持有资产来支持的中心化代币在运作。稳定币已成为加密领域的主导力量，在比特币的“数字黄金”叙事之后成为主要应用场景之一；Sony 和 PayPal 等参与者也参与其中。就在上周，Mastercard 宣布以 $1.8 billion 收购稳定币基础设施公司 BVNK，最近还披露，Meta 将在 Libra 失败后再次尝试稳定币。