USR 是一種由 ETH 原生支持並由 Resolv 協議維持的超额抵押穩定幣,於 3 月 22 日因攻擊者鑄造了數百萬枚無抵押代幣並據報提取至少 2500 萬美元而脫鉤。
根據區塊鏈分析公司 Chainalysis 的說法,這起事件的經過如下。
攻擊者利用鑄造密鑰創建了 8000 萬美元的無擔保 USR
今天早些時候在 X 上發布的一則串文中,Chainalysis 解釋稱,攻擊者獲得了 Resolv 的 AWS 密鑰管理服務存取權限,該服務中存儲了一個具有特權的簽名密鑰。此存取權限使他們能夠使用協議自身的權限授權鑄造操作。
有兩筆突出的交易,第一筆鑄造了 5000 萬 USR,第二筆再增加 3000 萬,使總數達到 8000 萬枚代幣。但根據 Chainalysis 的數據,這些鑄造操作由金額僅為 10 萬至 20 萬美元的微小 USDC 充幣所支持,犯罪分子利用這些資金觸發了虛高交換輸出。
隨後,他們迅速將新發行的 USR 轉換為包裝質押 USR(wstUSR),這是一種代表質押池份額而非固定代幣數量的衍生產品。之後,他們將資金交換為其他穩定幣,再轉為 ETH,並通過多個去中心化交易所池和橋樑進行輪轉,以隱藏其交易軌跡。
Resolv Labs 確認了此次入侵事件,表示未經授權的鑄造是因私鑰遭竊取所致。團隊在發現問題後不久即暫停了合約,並成功焚毀了攻擊者持有的近 900 萬 USR。他們還報告稱,在運營中止前,已處理了約 50 萬美元的贖回請求。
根據 Chainalysis 的數據,攻擊者控制了約 11,400 ETH,當時被盜時價值約 2,500 萬美元。他們還持有約 2,000 萬 wstUSR,其價值則低得多。
USR 脫鉤
攻擊發生後,根據 CoinGecko 的數據,USR 急跌至約 0.14 美元的歷史新低。然而,此後略有回升,但在發稿時,其價值仍較過去 24 小時下跌超過 57%。
根據 Resolv 團隊的說法,USR 的流通供應量中仍有至少 7100 萬枚非法鑄造的代幣,而 CoinGecko 評估其流通供應量剛超過 1.76 億枚代幣。然而,該團隊已啟動針對事件前鑄造的所有 USR 的贖回程序,優先針對白名單用戶。
這集內容尤其具有破壞性,因為瑞波公司 發現 最近的調查顯示,74% 的財務主管認為穩定幣是管理現金流和財務運營的有用工具。同時,89% 的受訪者表示,在選擇服務提供商時,他們極為重視安全託管,這突顯了基礎設施保障的重要性。
Resolv 表示,其正與合作夥伴、執法部門和分析公司合作追蹤資金並恢復資產,並警告用戶在恢復過程中不要與受影響的代幣進行交易。
文章 2500 萬美元 Resolv USR 銘刻劫案是如何發生的 首先出現在 CryptoPotato。
