ResolvのステーブルコインUSRはドルペッグを失い、プロトコルのミントコントラクトの欠陥を攻撃者に悪用されて約8,000万枚の裏付けのないトークンが作成され、約2,500万ドル分のEther(ETH)が抜き取られた結果、1ドルから72%下落して0.27ドルまで暴落した。これにより、資産9,500万ドルに対して負債1億7,300万ドルとなり、プロジェクトは事実上の債務超過状態に陥った。
ミントコントラクトの悪用
ブロックチェーンセキュリティ企業やオンチェーンデータによると、この攻撃は日曜日の協定世界時午前2時21分ごろに発生し、攻撃者は2つのトランザクションを用いて、適切な裏付けなしに約8,000万枚のUSRトークンをミントした。
その後、攻撃者はミントしたUSRを分散型取引所でUSDC(USDC)およびUSDT(USDT)にスワップし、その売却益をETHへと転換。現在、約2,370万ドル相当のETH 11,409枚と、別ウォレットに110万ドル相当のラップドUSRを保有している。
USRは、ETHとBitcoin(BTC)を裏付けとしたデルタニュートラルなヘッジ戦略に依存するドル連動型ステーブルコインだが、最初のミントから17分以内に、流動性最大のCurve Financeプールで価格が急落し、0.025ドルまで下がった。
その後、およそ0.85ドルまで回復したものの、ペッグの完全な復元には至っていない。
関連記事: Trump's 48-Hour Iran Warning: What It Did To BTC, ETH And XRP
構造的な設計不備
オンチェーン分析者らは、Resolvが当初説明していた「秘密鍵の漏えい」や「インフラへの標的型侵害」を超える、より根本的な原因を突き止めた。
ミントコントラクト内でスワップ要求を完了させる特権アカウントであるSERVICE_ROLEは、本来マルチシグであるべきところを、単一の外部所有アカウントによって管理されていた。さらに、コントラクトにはオラクルチェックも、金額の妥当性検証も、ミント上限も存在せず、攻撃者は10万USDCの入金で5,000万USRを受け取れる状態になっていた。これは本来想定される額のおよそ500倍に相当する。
復旧の見通し
DeFiLlamaのデータによると、Resolvのロック総額(TVL)は2025年2月に最大約6億8,400万ドルに達した後、今回の攻撃前には約9,500万ドルまで減少していた。
Resolvは、法執行機関およびオンチェーン分析企業と連携し、「あらゆる手段を講じて資産の回収を目指す」と表明している。チームは、復旧措置が実施されている間はUSRの取引を控えるよう強く勧告しており、「攻撃後の期間におけるユーザーの行動が、回収プロセスに影響を及ぼす可能性がある」と付け加えた。
次に読む: Bitcoin's S&P 500 Correlation Just Flashed A Crash Warning