以太幣(ETH) 抵押穩定幣 USR 遭駭脫鉤：里索夫私鑰外洩致 2,500 萬美元資金被盜、7,100 萬枚代幣疑「無抵押增發」

美國時間 3 月 22 日，以太幣(ETH)作為主要抵押資產的穩定幣「USR」因遭遇大規模駭客攻擊而失去「穩定幣」應有的「1:1 錨定（Peg）」機制。攻擊者疑似透過「無抵押代幣」大量增發的手法，非法轉移至少 2,500 萬美元（約 371 億韓元）資金，對整個「穩定幣」市場信心造成衝擊。

根據區塊鏈分析公司「Chainalysis」的說法，本次事件源自於 Resolv（以下中文稱「*里索夫*」）協議的核心基礎設施遭到入侵。攻擊者取得了儲存在 AWS Key Management Service 的「簽名金鑰」，並以「正常權限」的形式通過代幣增發操作。換言之，這並非一般智慧合約漏洞，而是「內部權限被盜用」的安全事件。

里索夫協議方面已承認「private key（私鑰）」外洩，並緊急暫停相關合約運作，試圖控制損失。

在兩次操作中，攻擊者總計鑄造了 8,000 萬枚 USR，分別為 5,000 萬與 3,000 萬枚。關鍵問題在於，這批 USR 並沒有對應的「足額抵押品」。實際存在協議中的資金僅約 10 萬至 20 萬枚 USD Coin(USDC)，但攻擊者卻利用協議內部的「交換結構」層層轉換，以極低抵押創造出大額 USR。

隨後，攻擊者將上述 USR 轉換為包裝代幣「wstUSR」，再透過去中心化交易所與跨鏈橋，迅速兌換成其他穩定幣與以太幣(ETH)，並以多階段、多地址分散操作，刻意拉長與複雜化資金流向，增加追蹤難度。

里索夫團隊在發現異常後，緊急進行合約停用與代幣處置，約 900 萬枚 USR 已被「銷毀」，試圖減少市場上「不當增發」的供給。不過，部分資金早已轉出協議之外，難以即時追回。此外，事件過程中約 50 萬美元規模的「贖回（兌回）」交易仍持續進行，顯示部分使用者在系統受損情況下仍成功兌換資產。

Chainalysis 估算，目前攻擊者地址持有約 11,400 枚以太幣(ETH)，以事發當時價格計算約為 2,500 萬美元。另一方面，攻擊者錢包內仍有約 2,000 萬枚 wstUSR，但由於「USR 脫鉤」與市場信心重挫，這部分代幣實際「市值」已大幅縮水。

這起「簽名金鑰」遭竊事件最直接的後果，就是穩定幣 USR 的「價格錨定」全面崩壞。攻擊發生後，USR 價格一度暴跌至約 0.14 美元，創下歷史新低。雖然之後價格略有反彈，但以 24 小時計算，跌幅依舊超過 57%，遠離 1 美元面值。

目前 USR 的總流通量約為 1 億 7,600 萬枚，其中至少約 7,100 萬枚被認定為「非法增發」或「無抵押支撐」的代幣。里索夫協議已啟動「事件前合法發行份額」的贖回程序，並以「白名單用戶」為優先對象進行處理，試圖減緩舊用戶損失與市場恐慌。

此次 USR 事件，再度將「穩定幣的信任機制」推上檯面。根據瑞波幣(XRP) 背後公司 Ripple 公布的一份調查，約有 74% 的金融機構主管對「穩定幣」作為「現金管理工具」持正面看法，但同時有高達 89% 的受訪者，將「安全與基礎設施」列為評估穩定幣產品時的首要條件。

里索夫目前正與合作夥伴及執法機關合作，針對攻擊者資金動向進行追蹤與凍結可能性評估，同時也公開呼籲用戶「暫停與 USR 及 wstUSR 相關的所有交易行為」，以避免二次損失或誤收來自駭客的非法資產。

評論

這起 USR 駭客事件，並非傳統意義上由合約邏輯錯誤導致的「DeFi 漏洞」，而是標準的「基礎設施與私鑰管理」失守。對於依賴多重簽章、雲端金鑰託管與自動化鑄銷機制的穩定幣協議而言，「誰能在什麼條件下簽名增發」的權限設計與金鑰保管流程，已成為系統安全的最關鍵環節。

從「USR 脫鉤」對價格與信心的打擊來看，未來「穩定幣」項目若僅強調「收益率」與「資本效率」，而忽略「權限分散化」、「金鑰硬體隔離」與「實時審計證明」，將更難獲得機構級資金與監管機構的長期信任。這次事件，也再度提醒市場，任何打著「穩定」名號的代幣，其實都深受「基礎設施安全」與「治理結構」影響，並非絕對無風險資產。