昨日发生了由 Resolv 的稳定币 USR 发生的大规模被黑事件，因有人转走了约 2500 万美元，价格下跌了 70%。原本应当价值 1 美元的代币跌至 0.27 美元，并且始终未能恢复。

关键在于：该智能合约里漏洞百出。特权账户由单一密钥控制，且没有多重签名（multi-signature）；不存在预言机（oracle）检查，甚至根本没有任何代币发行额度限制。攻击者存入 100k USDC，并以此换取了 5000 万 USR——比本应发行的数量多了 500 倍。随后在铸造了 8000 万枚伪造代币之后，黑客通过去中心化交易所将其兑换为 USDC 和 USDT，接着又把资金转换成 ETH。目前他持有 11,409 ETH，价值约 23.7M 美元，并且还有约 1.1M 美元的包裹 USR。

Resolv 起初将其称为私钥被泄露，但后来发现问题要深得多——这是合约设计层面的结构性错误。团队目前正与执法机构和区块链分析师合作，力图追回资产。与此同时，他们暂时请求不要交易 USR，因为这可能会妨碍资产的追回。

该项目的 TVL 在 2 月达到峰值 684 million，但在被黑时已降至 95 million。典型的弱安全性故事——单一密钥控制一切，这种情况总会以糟糕的结局收场。