ResolvのUSRステーブルコインが5,000万ドルの不正発行される
USRを開発・運営するDeFi(分散型金融)プロジェクトResolv Labsは、セキュリティ上の欠陥により、攻撃者が5,000万ドル(約80億円)以上の裏付けのないUSRステーブルコインを不正発行が発覚した。
We are currently investigating a security incident involving unauthorized minting of USR.
At this stage:
The collateral pool remains fully intact. No underlying assets have been lost.
The issue appears isolated to USR issuance mechanics.
Our immediate priority is to:
1)…
— Resolv Labs (@ResolvLabs) March 22, 2026
現在、USRの不正発行に関するセキュリティインシデントについて調査中です。現段階では、担保プールは完全に無傷で、基礎となる資産の損失もありません。問題はUSRの発行メカニズムに限定されているようです。当面の最優先事項は、1) インシデントの封じ込め、2) 影響の評価、3) 正当なユーザーへの影響の排除です。現在積極的に調査を進めており、近日中に最新情報をお知らせいたします。
Resolv Labsのセキュリティ上の欠陥により、攻撃者が、約20万ドル相当のUSDC から5,000万ドルを超える、裏付けのないUSRを不正に発行。この金額は、8,000万ドル(約127.5億円)以上とも言われており、USRの時価総額が2月初旬の約4億ドル(約637.4億円)から1億ドル(約159.3億円)ちかくにまで急落した後に発生。ブロックチェーンセキュリティ研究者らは、この侵害はプロトコルの設計上の脆弱性に起因する可能性が高いと指摘している。なお攻撃者は、不正発行したステーブルコインを使い、2,370万ドル(約38億円)に相当する11,409ETH(Ethereum:イーサリアム)を購入し、別のアドレスに110万ドル(約1.75億円)に相当するラップドUSR(WrappedUSR/WUSR)を保有している。
Resolv LabsはXを通じて声明を発表。すべてのプロトコル機能を一時停止し、担保プールは完全に無傷であり、「基礎となる資産は一切失われていない」と述べた。
不正発行されたアーキテクチャー上の重大な過失
アナリストは、この脆弱性の原因を、発行制限やオラクルチェックのない、外部所有の単一アカウントが管理する特権的な発行ロールにあると特定した。
🚨 $80M Stablecoin Exploit, and a reminder of how fragile this model really is
Stablecoins don’t fail gradually, they fail all at once.
Today, Cyvers detected a major incident at @ResolvLabs, where an attacker minted ~80M unbacked $USR. No collateral was drained, this was pure…
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) March 22, 2026
8,000万ドルのステーブルコインの不正利用、そしてこのモデルがいかに脆弱であるかを改めて思い知らされる。ステーブルコインは徐々に破綻するのではなく…
Cyversのブロックチェーンセキュリティアナリストによると、この不正発行は発行ロジックの欠陥が原因であり、コントラクトは監査済みだが、適切な検証なしに不正発行が可能になっていたことが原因と述べている。
攻撃者はResolvのUSRカウンターコントラクトに10万USDCを預け入れ、予想額の約500倍にあたる5,000万USRを受け取った。さらに2回目のトランザクションで3,000万USRが発行された。USRは、法定通貨準備金ではなくETHと、ビットコイン(Bitcoin/BTC)を裏付けとするデルタニュートラルなヘッジ戦略を採用した、米ドルペッグ型のステーブルコインである。
セキュリティ研究者らの見解
セキュリティ研究者らは、今回の事件は高度な暗号技術による攻撃ではなく、アーキテクチャー上の重大な過失に起因すると指摘しており、Cyversのデディ・ラヴィッド(Deddy Lavid)共同創設者兼CEO(最高経営責任者)は次のように語っている。
まさにこれが、ステーブルコインのリスクが現実のものとなる場面です。監査だけでは不十分で、リアルタイムで発行量と供給量を監視していなければ、最も重要な局面で盲目状態になります。すべてのプロトコルの相互作用を継続的に監視し、発行量、価格、流動性における異常は、それが波及する前に阻止しなければなりません。
ブロックチェーンアナリストのアンドリュー・ホン(Andrew Hong)氏は、基本的な外部所有アドレス(EOA)がプロトコル内の重要な「サービスロール」を制御していたと報告。このプロトコルは、安全なマルチシグネチャーコントラクトに頼るのではなく、単一の秘密鍵でこの標準的な仮想通貨ウォレットを保護。このロールは、マルチシグではなく、標準的な外部所有アカウント(EOA)によって制御されており、ミントコントラクトには、オラクルチェック、金額検証、最大ミント制限が欠如していた。
さらに、DeFi(分散型金融)プラットフォームのYieldsAndMoreは、この特定の管理ロールには、最大発行制限や価格オラクルチェックといった基本的なセキュリティ対策が欠けていたと指摘。アナリストらは、この事件は秘密鍵の侵害、あるいは内部犯行の可能性を強く示唆していると指摘している。
