在2026年3月22日,一场攻击发生了,生息稳定币赛道为此付出了2400万美元的真实代价。攻击者利用Labs协议稳定币USR的铸造漏洞,凭借约20万美元的抵押品,就凭空铸造了8000万枚无抵押USR。这不只是代码层面的失误,更是撕开了“生息稳定币”在风险管理、基础设施安全和系统信任假设上的深层脆弱性。
金库钥匙为何落入黑客之手
本次攻击的关键,并非是那种繁杂的智能合约漏洞,而是私钥管理方面出现了灾难性的情况。Labs把关键铸币权限所对应的私钥放置在云环境的KMS当中妥善保管,黑客凭借入侵这个环境,从而获取到了能够直接调用合约进行铸币的权限。只要掌握了KMS环境,那就等同于拥有了协议的如同“印钞机”一般的东西,靠着它能够绕开所有前端受到的限制以及风控逻辑,直接朝着底层合约发出了合法的铸币指令。
纵然攻击者获取了私钥,要是合约设计存有风控缓冲,本能够大幅减轻损失。然而可惜的是,USR的铸造逻辑准许用户抵押少量USDC,便能够铸造超出抵押品价值许多的USR。此设计缺陷在私钥泄露之后,把漏洞的危害性放大了数百倍,致使小额抵押品能够撬动巨额非法铸造变为可能。
三层架构如何反成血包
Labs进行了USR以及RLP双层代币架构的设计构建,其最初的想法意图乃是凭借RLP作为拥有保险效能的层次去吸纳承受损失,那USR得到抵押品按照一比一比例进行支撑,然而RLP所代表的是超出抵押的部分内容,起到缓冲垫的作用功能,但是这样一种设计构造所存在的内在矛盾之处在于呀,它把去中心化的资产和中心化的衍生品深度地相互联结在一起情况,并且一比一的资本效率表明该系统不存在任何的冗余多余成分情形之时。
当黑客借由漏洞铸造出8000万枚无抵押USR后,RLP率先成为坏账的吸纳之处,RLP净值瞬时急跌甚至归为零。原本被设计成“保险层”的资产呀,反倒成了首个被击穿的薄弱部位。这种架构于正常运行之际看上去十分稳健,然而在极端攻击面前,它存有缺乏缓冲垫的致命短处便全然暴露出来了。
自动化金库为何变接盘侠
攻击出现之后,黑客并非径直抛售USR,而是把它存进了Curve的USR/USDC池子里,接着将LP代币抵押到借贷协议去借出USDC。凭借这一中间环节,攻击者顺利地避开了对USR现货市场的直接冲击,把抛压转嫁到了流动性更为低下的衍生品市场。
当下之时,Curve等机构所拥有的自动化金库系统察觉到了USR市场呈现出的高收益率,然而却没能辨识出其乃是一个存在隐患的市场,这些金库其设计原本想法为捕获收益,由于是在欠缺风险识别的自动化脚本驱使之下,它们便开始持续不断地朝着USR市场注入流动性,终归到底,大概620万美元的USDC当作“退出流动性”给予了借款人,其中96%的那部分资金源自自动化金库。
硬编码预言机埋下定时炸弹
硬编码的预言机被用于Curve相关市场当中,这是致使损失扩大的关键设计缺陷,在USR价格已然十分严重地脱锚之际,预言机依旧按照1美元来计价,使得套利者能够以极低的价格借出真实的 USDC呀,然而协议却没办法识别资产已然严重贬值了。
这般硬编码机制,于稳定币正常运行之情形下倒还可予以维持,然而呢,一旦碰到脱锚事件发生,它便进而会成为致使系统性风险增大的一种促进因素。它促使自动化金库不得获取真实的市场价格信号,持续把真实资金投入已然失效的市场,从而形成那么一种类似“自杀式”的流动性输送机制。
多签机制为何拖垮救援
Labs的多签体制由身居多个时期区的好些位签名相关人员予以掌控,于和平时刻这乃是预防内部施行不良行为举措所赖以实施保障方式.只因黑客争分抢秒开展抽水袭击之际,此一机制却摇身一变成了迅速止住损坏之事发生的极其要命束缚.从漏洞出现直至多签方予以回复,当中存有几个小数目的钟头空白阶段,而这堪称是黑客达成现金兑现的宝贵好时段。
在安全事件里,这种治理结构暴露出了严重的效率问题,去中心化的权力分散虽说确保日常安全,然而在紧急时刻,缺乏快速响应机制以及紧急暂停功能的协议,这就如同向攻击者打开大门一般。此次事件还引发了行业就多签机制在极端场景下适用性的深度反思。
生息稳定币赛道何去何从
回顾加密货币的过往历程,那些尝试提供原生收益的稳定币项目,大多是以失败而告终的结局。在 2025 年 11 月的时候,USDX、xUSD、deUSD 出现连环崩盘现象,直至本次 USR 事件,生息稳定币的风险形态,已从单点故障演变成系统性传染的状况。当底层资产变成坏账时,基于这些资产发行的合成美元,瞬间就失去了价值支撑,进而引发连环清算。
其一,生息稳定币存在极大隐患,此隐患在于把巨额底层资产交予中心化交易所去执行对冲策略,进而引入了复杂的对手方风险与操作风险。其二,任何铸币逻辑出现故障,都会直接致使系统被击穿。其三,所谓的“超额抵押”以及“保险层”,在真正的攻击来临之时,常常就如同不存在一般。其四,这次事件给行业敲响了警钟,协议的安全底线,早就不再只是单纯依靠代码审计,更重要的是取决于私钥管理、外部依赖风控以及应急响应机制的完善状况。
你觉得,在DeFi协议致力于追求高资本效率那会儿,是不是应当于系统设计范围之内,强制纳入“熔断机制”用来防范相似风险呢?欢迎于评论区去分享你的观点,点赞以便让更多人目睹这场生息稳定币的深层危机。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
