我剛剛讀到關於幾個月前 Resolv 協議發生的一件相當嚴重的事情，我認為值得討論一下。2025 年3月，他們確認遭遇了一次駭客攻擊，有人成功在未經授權的情況下鑄造了 $80 百萬個 USR 代幣。令人瘋狂的是，實際確認的損失遠低於此，大約是 50 萬美元，但這個事件揭示了許多人沒有充分認識到的問題。

事情的經過是，攻擊者取得了一個具有鑄幣權限的私鑰。手握這個私鑰後，他們就能從無到有創造出 80 百萬個 USR 代幣。Resolv 團隊反應迅速，立即暫停了智能合約，並銷毀了約 900 萬個這些欺詐代幣。基本上，他們在更嚴重的事情發生之前控制了損害。

有趣的是，這次事件並不是智能合約本身的程式碼漏洞。它是對控制管理權限的離鏈基礎設施的駭入。重點在於：管理私鑰的安全性是一個許多人低估的關鍵點。一個私鑰被攻破，就可能摧毀整個協議。

安全專家多年前就一直強調：需要多重簽名、硬體安全模組（HSM）、定期輪換私鑰。Resolv 很可能是受到釣魚攻擊、開發者電腦中的惡意軟體，或類似的手法所致。我們尚不清楚他們是如何取得私鑰，但這應該是事後鑑識調查會揭露的。

至於 USR，它是一種算法穩定幣，不像 USDC 或 DAI 有抵押品。它依賴算法機制和協議的流動性來維持價格。當突然出現 80 百萬個沒有抵押的代幣時，賣壓會非常大。因此，緊急應對措施顯得格外重要。

與其他知名 DeFi 駭客事件相比：Poly Network 在 2021 年損失了 $611M ，Wormhole Bridge 在 2022 年損失了 $326M ，Ronin Bridge 也在 2022 年遭受攻擊。在這個背景下，Resolv 能將損失限制在 $625M ，展現了良好的操作反應，雖然不能改變駭客事件的事實。

我認為值得強調的是，這件事發生時，監管機構已經開始密切關注穩定幣。這類事件為監管者提供了更多理由來要求更嚴格的監督。有些人認為這證明去中心化系統需要更多保護措施，也有人則認為，區塊鏈的透明性和快速反應能力正是其優勢。

對於更廣泛的 DeFi 生態系來說，我認為這再次證明一個明顯但常被忽視的事實：沒有堅實的運營安全的技術創新，最終都可能成為災難。未來可能會出現更先進的監控系統、自動斷路器，能在有人干預之前偵測異常。

Resolv 協議駭客事件的教訓很明確：智能合約的審計是必要的，但並不充分。基礎設施的安全、私鑰管理、操作流程，這些都同樣或更為關鍵。如果你用最棒的程式碼建構協議，但你的私鑰放在便條紙上，那就麻煩了。