ResolvがDeFi侵害を受けて盗まれたトークンを焼却
Resolvは、先月発生した、DeFiハッキング攻撃による損失総額を抑制するための措置を講じた。
この事件は、ハッカーが発行時の脆弱性を悪用し、適切な担保なしに約8,000万枚のUSRトークンを不正に発行したことから始まり、そのうち約3,400万枚のUSRトークンは、11,409イーサリアム(Ethereum/ETH)で即座に売却された。この侵害により、Resolvが発行承認にオフチェーンインフラに依存していることの重大な欠陥と、USRの価格が急落し、オフチェーンのリスクが露呈した。
Resolv Labsはスマートコントラクトをアップグレードすることで、ハッカーが保有していた約3,673万USRトークンを無効化することに成功し、推定3,400万ドル(約54億円)に上る潜在的な経済的損失の大部分を軽減させた。これは、エクスプロイト者がサポートされていないUSRトークンを発行し、それを約2,450万ドル相当のETHに変換して引き出した際にプロトコルが被った8,000万ドルの損失のごく一部に過ぎない。
攻撃はどうやって発生したのか
ブロックチェーン分析を手掛けるChainalysis(チェイナリシス)のデータによると、この攻撃はResolvのオフチェーンAWSキー管理サービス(KMS)における特権キーの侵害に端を発している。
Resolvプロトコルを揺るがしたエクスプロイトは、2026年3月22日(日曜日)に発生。攻撃者は、AWSでホストされているSERVICE_ROLEを制御する単一の秘密鍵を侵害し、2つの大規模なミントを承認。攻撃者はこのキーを用いてトークン発行プロセスを操作し、預託された担保額をはるかに超えるUSRトークンの発行を承認した。
ハッカーは当初、10万ドル~20万ドル(約1,600万円~3,200万円)程度の比較的少額のUSDCを預託していたが、これを数千万個の担保なしUSRトークンに変換した。主な発行トランザクションが2件確認されており、1件は5,000万USR、もう1件は3,000万USRだ。
攻撃者はUSRをラップドステーキングUSR(wstUSR)に変換し、保有資産を徐々に他のステーブルコインに交換した後、最終的にETHに交換。その総額は約2,500万ドル(約40億円)に上る。大量の裏付けのないトークンの流入により、USRの価格は急落し、わずか数時間で最大80%もの価値を失った。
18回のセキュリティ監査に合格していたにもかかわらず、Resolvの今回の事件は、オフチェーンコンポーネント、特権キー、クラウドインフラストラクチャーが侵害された場合、DeFiプロトコルが依然として脆弱であることを露呈した。
この侵害事件は、複雑なDeFiエコシステムにおける資産保護には、堅牢なオンチェーン監視と迅速な対応メカニズムが不可欠であることを改めて示している。
