Resolv USR (USR)

🚨 这就是DeFi被抽干的方式…

“一把拥有几乎无限权限的密钥，可以随意铸造任意数量的USR”

没有奇怪的漏洞。没有破损的密码学。只有一个以管理员身份在生产环境中的神模式密钥 💀💸

~ @omeragoldberg

https://t.co/Dzb7kuGoRR

我坚信最近的 @ResolvLabs 漏洞完全本可以避免。

以下是3月22日事件的经过 & 事后情况 ↓

→ 攻击者获取了链下 AWS 私钥
→ 他存入 $200K，并铸造了 80M 未抵押的 USR（400x 超额）
→ ~$23.85M 的 ETH 在 17 分钟内被提取
→ USR 价格从 $1.00 跌至 $0.025

USR 合约本身运作完美，顺便说一下。
审计也完成了应有的工作，所以并不是审计的错。

与 Resolv 对接的协议，如 @Morpho、@0xfluid 和 @lista_dao 迅速采取行动，遏制了损失。

截至目前，@ResolvLabs 已完成 98% 的白名单赎回。

团队未发现内部人员参与，并邀请 Mandiant 与 ZeroShadow 深入分析了情况。

与此同时，约 $25M 的 ETH 仍在攻击者手中。

运营安全与智能合约审计同等重要，甚至更为关键。

如果当初有妥善的密钥管理和更好的链上防护措施，这一情况本可避免。真遗憾。

而昨天，我们又遭遇了一起 DeFi 黑客事件 –

吴说获悉，据 PeckShield 统计，2026 年 3 月加密行业共发生 20 起重大安全事件，累计损失约 5200 万美元，较 2 月约 2650 万美元环比增长 96%。其中主要事件包括：Resolv Labs 旗下 USR 因 AWS KMS 密钥系统遭入侵，导致约 8000 万枚 USR 异常增发，实际损失约 2500 万美元；Venus 相关事件形成约 218 万美元坏账；此外，sillytuna 遭遇约 2400 万美元线下与链上联合攻击，一名疑似 Kraken 大户则因社交工程攻击损失约 1800 万美元。https://t.co/aqhIm1Bgnt