USR 穩定資產遭駭後首度部分復原：Resolv Labs 完成 98% 白名單 1:1 償付、金鑰管理風險再引市場警訊

根據 Resolv Labs 在 3 月 31 日（當地時間）的最新說明，其穩定資產「USR」在遭遇駭客攻擊後，已進入首個「部分復原」階段。官方指出，「白名單」地址中約 98% 的持有人，已完成「1:1 償付」，一定程度緩解了市場對 *USR* 及 *Resolv Labs* 的緊張情緒。不過，事件也再次凸顯「穩定資產」與「金鑰管理」在加密金融體系中脆弱的一面。

根據共同創辦人 Ivan Kozlov（伊凡·科茲洛夫）於 31 日釋出的影片更新，團隊已對白名單內的 *USR* 持有人進行「1:1 比例」的資產兌付，這是 3 月 22 日駭客入侵事件發生以來，首次具體落地的復原成果。團隊選擇優先處理「已驗證錢包」的償付，透過人工核對與快速審查，在 24 小時內完成大部分匯出，並強調此舉能降低二級市場的額外衝擊。至於在攻擊發生前就持有 *USR*、但未被列入白名單的用戶，官方同樣承諾將提供「1:1 償付」，只是技術執行方案與實際流程尚未最終拍板。

此次駭客事件的根源，被指向內部「金鑰管理機制」的漏洞。安全公司 Halborn 的初步分析指出，Resolv Labs 於亞馬遜雲端服務（AWS）上的金鑰管理系統「KMS」遭入侵，導致與「鑄幣合約」相關的簽章金鑰遭到竊取。攻擊者隨後利用該金鑰，在僅投入約 10 萬至 20 萬美元（約 1 億 5,110 萬至 3 億 320 萬韓元）規模的 *USD Coin(USDC)* 作為基礎，無需提供額外擔保就惡意鑄出多達 8,000 萬顆 *USR*。

Resolv Labs 稱，目前已與 Google 旗下的網路安全公司 *Mandiant*，以及專攻區塊鏈事件應對的 *ZeroShadow* 合作調查整體攻擊路徑，並強調目前為止「尚未發現內部人員涉案跡象」。

不過，儘管白名單持有人已獲得實質補償，並不代表所有參與者都能得到相同層級的保護。自 *USR* 出現「脫鉤（depeg）」後才進場買入的投資人、為市場提供流動性的 LP 參與者，以及持有 RLP 代幣者，至今仍處於高度不確定的狀態。Kozlov 表示，對這些族群而言，目前「不存在一個明確、單一的解決方案」，涉及法律責任歸屬、技術可行性與整體生態系利益分配等多重因素，勢必需要更長時間協調。他並未給出具體時間表，只表示團隊會在「可負擔責任的範圍內，以最快速度推進復原進程」。

評論

此次 *USR* 事件，再次讓市場聚焦於「穩定資產的信任結構」與「金鑰管理安全」兩大關鍵議題。從結果來看，Resolv Labs 透過白名單機制與快速人工審核，在短時間內完成 98% 的「1:1 償付」，顯示其應急流程具一定效用；但另一方面，核心簽章金鑰遭竊、並被用於無抵押鑄幣的事實，卻也暴露出整套架構在雲端 *KMS* 設計與權限控管上的致命弱點。未來若無法在金鑰分層管理、多重簽章、離線簽章與第三方稽核等層面提出更強保障，「穩定資產」這一類標榜低波動的產品，將難以真正重建市場信心。

在部分復原成效逐步顯現的同時，多數觀點仍認為，*USR* 要恢復至完全正常狀態，恐怕需要經歷更長時間的技術修補、治理協調與信任重建。對於更廣泛的加密市場而言，這起事件已成為檢視「穩定資產風險管理」與「雲端金鑰安全」不可忽視的警示案例。