Resolvプロトコルがハッキング：USRステーブルコインの脆弱性により2500万ドルが流出

主要ハイライト

• 高度な攻撃者がResolvのUSR発行メカニズムの脆弱性を悪用し、わずか20万ドルのUSDC初期入金から約8,000万の裏付けのないトークンを生成
• ハッカーは11,409 ETH(約2,500万ドル相当)の引き出しに成功
• USRの価値はCurve Financeで0.025ドルまで急落した後、約0.85ドルまで部分的に回復
• Resolvはすべてのプロトコル運用を停止。チームは担保資産プールの安全性を主張しているが、USRトークン保有者は供給インフレにより大きな損失を被った
• Morpho、Lido、Aaveを含む主要DeFiプラットフォームがエクスポージャーの評価と軽減のため迅速に対応

日曜日、ResolvのUSRステーブルコインに深刻なセキュリティ侵害が発生し、攻撃者が発行インフラの脆弱性を悪用して約8,000万の裏付けのないトークンを生成し、最終的にプロトコルから約2,500万ドル相当のイーサを流出させた。

悪意のある活動はUTC時間午前2:21頃に開始された。攻撃者は10万USDCをResolvのUSR Counterコントラクトに入金し、正規の量の約500倍にあたる天文学的な5,000万USRを受け取った。その後の取引でさらに3,000万トークンが生成された。

不正発行後、攻撃者は様々な分散型取引所を通じて詐欺的なUSRをUSDCおよびUSDTに体系的に交換し、その後収益をETHに集約した。攻撃者のウォレットには現在11,409 ETHが含まれており、現在の市場価値で約2,370万ドルに相当する。

1ドルのペッグを維持するように設計されたUSRは、最初の発行取引からわずか17分後にCurve Financeで0.025ドルまで壊滅的に崩壊した。トークンは約0.85ドルまで部分的に回復したものの、日曜日の朝時点で依然として大幅にペッグから外れていた。

こうした保証にもかかわらず、ブロックチェーンアナリストは既存のUSR保有者が大きな損害を被ったと指摘した。8,000万の新規発行トークンの大量流入により循環供給量が大幅に希釈され、攻撃者の積極的な売却により利用可能なプール流動性が枯渇した。インシデント中にUSRを保有していた投資家は即座にポートフォリオ損失を経験した。

不十分なアクセス管理に起因するセキュリティの欠陥

ブロックチェーンセキュリティアナリストのAndrew Hongは、侵害の原因をSERVICE_ROLEとして指定された特権アカウントと特定した。この重要なアカウントは、より安全なマルチシグ・ウォレットではなく、単一の外部所有アカウントによって制御されていた。発行コントラクトには、オラクル検証、金額検証プロトコル、最大発行上限などの必須セーフガードが欠けていた。

2025年7月にResolvのステーキングプロセスモジュールを監査したセキュリティ企業Pashovは、Cointelegraphに対し、根本的な問題はプロトコルの設計における本質的な弱点ではなく、秘密鍵の漏洩に起因すると思われると伝えた。

Resolvの公式ウェブサイトには、5つの異なるセキュリティ企業によって実施された14件の個別監査、Immunefiでホストされている50万ドルのバグ報奨金プログラム、および継続的なスマートコントラクト監査報告書システムが記録されている。

影響を抑制するために対応する分散型金融エコシステム

多数のDeFiプラットフォームがエクスプロイト後に迅速な対応措置を実施した。LidoはLido Earnに預けられたユーザー資金が安全であることを確認した。Aave創設者のStani Kulechovは、プラットフォームにUSRへの直接的なエクスポージャーがないことを表明し、Resolvが未払い債務を積極的に返済していることを確認した。Morpho共同創設者のMerlin Egaliteは、特定のボールトのみがUSRエクスポージャーを持っていることを明確にした。

レンディングエコシステムに広がる波及効果

USRとそのステーキング派生商品wstUSRの両方が、MorphoやGauntletなどのプラットフォームで担保資産として承認されていた。市場アナリストは、日和見的なトレーダーが大幅に割引された価格でUSRを取得し、それを担保資産として利用して1ドルの完全評価でUSDCを借り入れ、影響を受けたボールトから流動性準備を効果的に枯渇させた可能性があると観察した。

Resolvのジュニア保険トランシェであるRLPも、潜在的な資本毀損に直面している。約1,700万ドル相当の1,360万RLPポジションを保有するStream Financeは、その預金者ベースに追加損失を伝達する可能性がある。Streamは以前、2025年11月に9,300万ドルの損失を開示した。

RESOLVガバナンストークンは、セキュリティ侵害後の24時間で約8.5%下落した。

このResolvインシデントは、より広範な業界パターンを例示している。最近のImmunefiレポートによると、平均的な暗号資産ハッキングは現在約2,500万ドルの損害をもたらしており、2024年から2025年の間の5つの最大エクスプロイトが盗難資金総額の62%を占めている。

Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerabilityという投稿は、Blockonomiに最初に掲載されました。