今天早上，@ResolvLabs 的 $USR 稳定币通过攻击者铸造了约 8000 万个无抵押代币，成本仅为约 10 万到 20 万 USDC。 Resolv Labs USR 的漏洞利用了两步铸造过程中的一个关键缺陷（requestSwap 后跟 completeSwap），攻击者存入了约 10 万到 20 万 USDC，但绕过了验证检查——这可能是由于一个由单个外部拥有地址（EOA）控制的被攻破或不安全的 SERVICE_ROLE，而不是多重签名，加上缺少链上金额上限、minExpectedAmount 强制执行或预言机价格保护——允许以极高的 500:1 比率铸造约 8000 万个无抵押的 USR 代币。 然后，攻击者将这些代币倾倒到流动性池中（主要是 @CurveFinance 的 USR/USDC），将收益转换为真实资产，如 ETH，并提取了约 2300 万到 2500 万美元的利润，而协议的基础抵押池保持完全完整，没有核心资产被抽走，导致 USR 代币脱钩。 Resolv Labs USR 的漏洞引发了借贷市场的重大二次传染，像 @Morpho（通过多个策展人金库，如 @gauntlet_xyz 等）、@0xfluid、@lista_dao、@eulerfinance 和 @InverseFinance 等协议接受了 USR、wstUSR 或 RLP 作为抵押，假设接近 1 美元的挂钩，导致坏账估计从数十万（例如，@Inverse 的 wstUSR-DOLA 市场约 34 万美元）到数百万（例如，Fluid 上潜在的 1100 万美元以上，以及 Morpho 金库中的几百万）不等，因为脱钩导致了不足抵押的头寸和强制清算或退出。 此次事件的关键教训（这并不是加密货币中第一次学到的教训）是，与这些协议互动时存在许多未知风险，因此作为使用它们的人，您需要将这种风险纳入您的决策中，当发生漏洞时，影响范围很大，任何依赖于被利用代币的产品都可能使您面临资金损失的风险。