Resolv Labsは、デルタ中立戦略を採用したステーブルコインUSRの発行体ですが、攻撃を受けました。アドレス0x04A2から、Resolv Labsのプロトコルを通じて100,000 USDCで5千万USRを生成しました。事件が明るみに出た後、USRの価格は即座に約0.25ドルに下落し、その後回復して執筆時点では約0.80ドルになっています。トークンRESOLVの価格も短期間で約10%下落しました。その後、ハッカーは同様の手法で100,000 USDCを使い30百万USRを生成しました。USRの価値が大きく下落したため、アービトラージの投機家たちが迅速に行動し、多くの借入市場がUSR、wstUSR、その他の担保資産の供給をほぼ停止しました。BNBチェーン上のLista DAOも新たな借入リクエストを一時停止しています。これらの借入プロトコルは唯一の影響を受けたわけではありません。Resolv Labsは、より大きな価格変動と高い利益をもたらすRLPトークンの発行も許可しており、これによりプロトコルから発生した損失に対して法的責任を負うことになります。現在、約3千万のRLPトークンが流通しており、そのうちStream Financeが1,300万以上を保有しており、純リスクは約1,700万ドルに相当します。そうです、Stream Financeは、xUSDによる大きな損失を経験した企業であり、さらにもう一度ショックを受ける可能性があります。執筆時点で、ハッカーはUSRをUSDCやUSDTに変換し、Ethereumを購入し続けており、すでに1万以上のETHを取得しています。200,000 USDCを使い、ハッカーは2千万ドル以上の資産を回収し、「100倍の利益を生む通貨」を市場の下落局面で見つけました。再び、「不十分なセキュリティ」による脆弱性が悪用されたのです。昨年10月11日の大幅な下落により、デルタニュートラル戦略で発行された多くのステーブルコインは、ADL(自動レバレッジ縮小)による担保資産の損失を被りました。アルトコインを資産として使用していた一部のプロジェクトは、さらに大きな損失を出し、いくつかは完全に消滅しました。今回攻撃を受けたResolv Labsも、同様の仕組みを用いてUSRを発行しています。2025年4月に、Cyber.FundとMaven11が主導し、Coinbase Venturesも参加した1,000万ドルのシードラウンドを完了し、2025年5月末から6月初めにかけてRESOLVトークンをリリースしました。しかし、Resolv Labsが攻撃を受けた理由は、市場の厳しさではなく、「USR生成の仕組みが十分に厳密でなかった」ことにあります。現時点で、セキュリティ企業や公式機関による詳細な原因分析は行われていません。DeFiコミュニティYAMの初期分析によると、攻撃はハッカーがプロトコルの補助機能で使われるSERVICE_ROLEの権限を掌握した可能性が高いとされています。SERVICE_ROLEは、暗号通貨のコントラクトにパラメータを提供するために使用される補助的な役割です。Grokの分析によると、ユーザーがUSRを作成する際、オンチェーン上にリクエストを発行し、requestMint関数を呼び出します。パラメータは以下の通りです:\_depositTokenAddress:トークン送付先のアドレス;\_amount:預入量;\_minMintAmount:予想される最小USR受取量(スリッページ制御)。その後、ユーザーはUSDCまたはUSDTをコントラクトに送信します。プロジェクトの補助機能であるSERVICE_ROLEは、オラクルのPythを使って送信された資産の価格を検証し、その後、completeMintまたはcompleteSwapを呼び出して、実際に生成されたUSRの量を確定します。問題は、コントラクトが完全にSERVICE_ROLEから提供されたmintAmountを信用している点にあります。これは、Pythによるオフチェーンの検証を前提としています。そのため、コントラクトは上限設定やオンチェーンのオラクルによる検証を行わず、直接mint(\_mintAmount)を実行します。この仕組みを踏まえ、YAMはハッカーが本来はプロジェクトチームが管理すべきSERVICE_ROLEの権限を掌握し、システムの内部オラクルの不具合や内部盗難、鍵の盗難などにより、\_mintAmountを5千万に設定し、50百万USRを生成したと推測しています。最後に、Grokは、ResolvがユーザーのUSR生成リクエストを受け付けるアドレス(またはコントラクト)がハッカーに制御される可能性を考慮して設計されていなかったと結論付けています。USRを生成するリクエストが最終的にUSRを生成するコントラクトに送信される際、最大生成量の制限は設けられておらず、コントラクトはオンチェーンのオラクルによる二次検証も行っていません。すべてのパラメータはSERVICE_ROLEから提供されたものをそのまま信用しています。予防策も十分ではありません。YAMは、攻撃の原因について推測するだけでなく、プロジェクトチームの危機対応の準備不足も指摘しています。YAMはX上で、Resolv Labsは最初の攻撃後3時間だけ一時停止したと述べていますが、そのうち約1時間はマルチシグの署名を集めるためでした。YAMは、緊急停止は1署名だけで十分であり、その権限はチームメンバーや信頼できる外部運営者に委ねるべきだと提案しています。これにより、オンチェーンの異常に対する認識が高まり、迅速な停止が可能となり、異なるタイムゾーンの対応も改善されるとしています。一署名だけの緊急停止はやや過激に思えるかもしれませんが、多数の署名を必要とする仕組みは、緊急時の遅延を招く可能性があります。信頼できる第三者による継続的な監視や、緊急停止権限を持つ監視ツールの導入は、この事件から得られる重要な教訓です。DeFiのプロトコルへのハッカー攻撃は、長らくコントラクトの脆弱性に限定されてきました。Resolv Labsの事例は、プロジェクトチームにとって警鐘です。プロトコルのセキュリティは、部分的に信頼できるものではなく、すべてのパラメータに対して少なくとも二重の検証を行う必要があります。たとえ自社運営のサーバーであっても、そのリンクは厳重に管理されるべきです。
Resolv Labs が攻撃を受け、DeFi プロジェクトが再び悪用される
Resolv Labsは、デルタ中立戦略を採用したステーブルコインUSRの発行体ですが、攻撃を受けました。アドレス0x04A2から、Resolv Labsのプロトコルを通じて100,000 USDCで5千万USRを生成しました。 事件が明るみに出た後、USRの価格は即座に約0.25ドルに下落し、その後回復して執筆時点では約0.80ドルになっています。トークンRESOLVの価格も短期間で約10%下落しました。
その後、ハッカーは同様の手法で100,000 USDCを使い30百万USRを生成しました。USRの価値が大きく下落したため、アービトラージの投機家たちが迅速に行動し、多くの借入市場がUSR、wstUSR、その他の担保資産の供給をほぼ停止しました。BNBチェーン上のLista DAOも新たな借入リクエストを一時停止しています。
これらの借入プロトコルは唯一の影響を受けたわけではありません。Resolv Labsは、より大きな価格変動と高い利益をもたらすRLPトークンの発行も許可しており、これによりプロトコルから発生した損失に対して法的責任を負うことになります。現在、約3千万のRLPトークンが流通しており、そのうちStream Financeが1,300万以上を保有しており、純リスクは約1,700万ドルに相当します。 そうです、Stream Financeは、xUSDによる大きな損失を経験した企業であり、さらにもう一度ショックを受ける可能性があります。 執筆時点で、ハッカーはUSRをUSDCやUSDTに変換し、Ethereumを購入し続けており、すでに1万以上のETHを取得しています。200,000 USDCを使い、ハッカーは2千万ドル以上の資産を回収し、「100倍の利益を生む通貨」を市場の下落局面で見つけました。 再び、「不十分なセキュリティ」による脆弱性が悪用されたのです。 昨年10月11日の大幅な下落により、デルタニュートラル戦略で発行された多くのステーブルコインは、ADL(自動レバレッジ縮小)による担保資産の損失を被りました。アルトコインを資産として使用していた一部のプロジェクトは、さらに大きな損失を出し、いくつかは完全に消滅しました。 今回攻撃を受けたResolv Labsも、同様の仕組みを用いてUSRを発行しています。2025年4月に、Cyber.FundとMaven11が主導し、Coinbase Venturesも参加した1,000万ドルのシードラウンドを完了し、2025年5月末から6月初めにかけてRESOLVトークンをリリースしました。 しかし、Resolv Labsが攻撃を受けた理由は、市場の厳しさではなく、「USR生成の仕組みが十分に厳密でなかった」ことにあります。 現時点で、セキュリティ企業や公式機関による詳細な原因分析は行われていません。DeFiコミュニティYAMの初期分析によると、攻撃はハッカーがプロトコルの補助機能で使われるSERVICE_ROLEの権限を掌握した可能性が高いとされています。SERVICE_ROLEは、暗号通貨のコントラクトにパラメータを提供するために使用される補助的な役割です。 Grokの分析によると、ユーザーがUSRを作成する際、オンチェーン上にリクエストを発行し、requestMint関数を呼び出します。パラメータは以下の通りです: _depositTokenAddress:トークン送付先のアドレス; _amount:預入量; _minMintAmount:予想される最小USR受取量(スリッページ制御)。 その後、ユーザーはUSDCまたはUSDTをコントラクトに送信します。プロジェクトの補助機能であるSERVICE_ROLEは、オラクルのPythを使って送信された資産の価格を検証し、その後、completeMintまたはcompleteSwapを呼び出して、実際に生成されたUSRの量を確定します。 問題は、コントラクトが完全にSERVICE_ROLEから提供されたmintAmountを信用している点にあります。これは、Pythによるオフチェーンの検証を前提としています。そのため、コントラクトは上限設定やオンチェーンのオラクルによる検証を行わず、直接mint(_mintAmount)を実行します。 この仕組みを踏まえ、YAMはハッカーが本来はプロジェクトチームが管理すべきSERVICE_ROLEの権限を掌握し、システムの内部オラクルの不具合や内部盗難、鍵の盗難などにより、_mintAmountを5千万に設定し、50百万USRを生成したと推測しています。 最後に、Grokは、ResolvがユーザーのUSR生成リクエストを受け付けるアドレス(またはコントラクト)がハッカーに制御される可能性を考慮して設計されていなかったと結論付けています。USRを生成するリクエストが最終的にUSRを生成するコントラクトに送信される際、最大生成量の制限は設けられておらず、コントラクトはオンチェーンのオラクルによる二次検証も行っていません。すべてのパラメータはSERVICE_ROLEから提供されたものをそのまま信用しています。 予防策も十分ではありません。 YAMは、攻撃の原因について推測するだけでなく、プロジェクトチームの危機対応の準備不足も指摘しています。 YAMはX上で、Resolv Labsは最初の攻撃後3時間だけ一時停止したと述べていますが、そのうち約1時間はマルチシグの署名を集めるためでした。YAMは、緊急停止は1署名だけで十分であり、その権限はチームメンバーや信頼できる外部運営者に委ねるべきだと提案しています。これにより、オンチェーンの異常に対する認識が高まり、迅速な停止が可能となり、異なるタイムゾーンの対応も改善されるとしています。 一署名だけの緊急停止はやや過激に思えるかもしれませんが、多数の署名を必要とする仕組みは、緊急時の遅延を招く可能性があります。信頼できる第三者による継続的な監視や、緊急停止権限を持つ監視ツールの導入は、この事件から得られる重要な教訓です。 DeFiのプロトコルへのハッカー攻撃は、長らくコントラクトの脆弱性に限定されてきました。Resolv Labsの事例は、プロジェクトチームにとって警鐘です。プロトコルのセキュリティは、部分的に信頼できるものではなく、すべてのパラメータに対して少なくとも二重の検証を行う必要があります。たとえ自社運営のサーバーであっても、そのリンクは厳重に管理されるべきです。