執筆者:Glendon、Techub News3月22日、分散型利息安定コインの開発に特化したDeFiプロトコル開発者Resolv Labsがハッキング被害に遭った。オンチェーンのデータによると、「0 x04 A2」で始まる攻撃者のアドレスはわずか10万USDCを預けただけで、プロトコルの脆弱性を突いて5千万USR安定コインを発行した。その後、攻撃者は同じ手口でさらに10万USDCを預け、3千万USRを発行した。この間、Resolv Labs公式はツイートで攻撃を認め、すべてのプロトコル機能を停止し、復旧作業を進めていると発表した。しかし、すでに手遅れだった。合計8千万USR(担保資産なし)が市場に急速に流入し、USRの価格は急落した。流動性の枯渇により取引時に大きなスリッページが発生し、USRの価値はさらに下落した。CoinMarketCapのデータによると、USRは一時約0.06ドルまで下落し、94%以上の下落を記録した(現在は約0.32ドルに回復しているが、「深刻な脱錨」状態は続いている)。特筆すべきは、攻撃者の資金洗浄の経路が明確かつ迅速であり、数時間以内に完了したことだ。彼らは違法に発行したUSRをwstUSRに変換し、CurveやUniswapなどの分散型取引所で大量に売却、USDCやUSDTに交換した後、これらの安定コインを約2500万ドル相当のイーサリアムに換金し、攻撃の利益を洗浄する「稲妻の略奪」を成功させた。現在の低迷市場環境の中、Resolv Labsの攻撃は業界の信頼を再び打ち砕き、暗号コミュニティでは熊市の「定番シナリオ」の再演と見なされている。その原因は依然として、古くから語られる「発行メカニズムの設計問題」にある。脆弱性の起源:発行メカニズムの三重の失陥まず、Resolvの安定コインシステムは二層構造を採用していることを明確にすべきだ。USRはドルに1:1で連動する安定コインで、ユーザーはETHまたはBTCを預けてUSRを発行できる。デルタ・ニュートラル戦略を採用し、ETH/BTCの保有に対して同等の空売り永続ポジションを開設し、価格変動リスクを相殺してUSRの安定性を保つ仕組みだ。USRの保有者は、プロトコルの収益の一部を得ることができ、PendleやSommelierなどのDeFiプロトコルを通じて収益の集約に参加できる。同時に、ResolvはResolv Liquidity Provider Token(RLP)を導入し、システムの「保険プール」として機能させている。これはヘッジ戦略に伴う清算、スリッページ、資金料の変動など潜在的な損失を吸収するためのものだ。今回の攻撃では、RLPも被害を免れなかった。CoinGeckoのデータによると、RLPの価格は1.38ドルから0.23ドルに下落し、83%以上の下落を記録したが、現在は0.98ドルに回復している。では、Resolv Labsはどのようにしてハッカーの攻撃を受けたのか。セキュリティ企業PeckShieldや複数のオンチェーン分析者の分析によると、Resolv Labsの発行コントラクトの権限管理と検証メカニズムに深刻な設計欠陥があったことが根本原因だ。第一に、権限管理の致命的な脆弱性だ。正常な流れでは、ユーザーは担保を預けてUSRを発行し、その発行量は担保の価値と1:1に連動しているはずだが、攻撃者はSERVICE_ROLEの権限を悪用し、担保価値の検証を回避して、天文学的な発行量を設定した。これにより、20万ドルのUSDCで8千万USRを超高レバレッジで発行する操作が可能となった。この設計の欠陥は、SERVICE_ROLEが直接発行量を決定する権限を持ち、「スーパー権限」に該当する点だ。プロトコルはマルチシグや分散署名ネットワークを採用せず、単一または少数の署名者に依存しているため、鍵の漏洩や侵害があった場合、システムは即座に崩壊する。第二に、オンチェーンの金額検証メカニズムの欠如は重大なセキュリティリスクだ。Resolvの発行コントラクトは、オフチェーンの署名者が提供する発行量を完全に信頼しており、オンチェーン上で最大発行量(例:1回あたり最大100万USR)を設定したり、ChainlinkやPythなどのオラクルを用いて担保価値と発行量をリアルタイムで比較・検証したりしていない。これにより、攻撃者がオフチェーン署名者を制御したり、権限を得たりすれば、担保の充足を問わずUSRを自由に発行できる。この検証不足が今回のハッキングを容易にした。第三に、デルタ・ニュートラル戦略の潜在的リスクも明らかになった。Resolvはこの戦略を用いてUSRを発行しているが、これも設計上の弱点を露呈した。デルタ・ニュートラルは、オフチェーン署名やオラクルと深く連動しており、これらの連携点が最も脆弱な攻撃面となる。一度署名者やオラクルに問題が生じると、発行メカニズムは混乱に陥る可能性がある。今早朝、Resolv Labsは公式に攻撃の原因を説明した。今回の事件は、未承認の第三者によるインフラ侵入とネットワーク攻撃に起因している。攻撃者は漏洩した秘密鍵を用いてResolvのインフラに不正アクセスし、約8000万ドル相当の担保なしUSRを不正に発行した。また、Resolvは攻撃者が所有していた約900万USRを既に焼却したと明らかにした。現在のUSR供給量は、事件前から存在していた1.02億USRと、新たに不正に発行された約7100万USRを含む。損失をできるだけ取り戻し、正常な秩序を回復するために、今日中に攻撃前のUSRの償還機能を有効化し、ホワイトリストに登録されたユーザーから順次開始する予定だ。なお、Resolvの担保資産には直接影響はなく、不正に発行されたUSRやその他の被害資産の追跡と制御を進めている。これはResolv Labsが早期ユーザーに対して行う初期的な救済措置であり、同社が損失を軽減し、資金回収に努めていることを示している。しかし、この事件はすでに業界に連鎖反応を引き起こしている。連鎖反応と教訓Resolv Labsの事件の最も直接的な影響は、USRの深刻な脱錨とResolv LabsのネイティブトークンRESOLVの価格下落だ。RESOLVは一時16%以上下落し、0.052ドルまで落ちた。また、多くのDeFiプロトコルにも波及した。Curve FinanceのUSR/USDC流動性プールは瞬時に崩壊し、Morphoの貸借市場ではUSRやwstUSRを担保とする貸付市場がほぼ空になり、多数のユーザーがUSRの脱錨により強制清算のリスクに直面した。しかし、Morphoの共同創設者Paul Frambotはツイートで、Resolv Labsの攻撃がMorphoに与えた影響はそれほど大きくないと述べている。主にUSRや関連資産(例:RPL)と、それらを担保とした貸付市場に影響しただけで、約500の預金額が1万ドル超のMorphoの金庫のうち、約15の金庫が影響を受けている。また、Resolvと連携する他のプロトコルやエコシステムパートナーも重大な影響を受けず、緊急措置を余儀なくされた例もある。DeFiリスク管理プロトコルのGauntletは、Gauntlet USD AlphaはUSRやRLPのポジションを保有しておらず、プラットフォームの金庫も影響を受けていないと強調し、Resolvと協議中の解決策を示した。残存資金については補償案を策定中だ。DeFiプロトコルのFluidは、短期融資を受けており、現在の不良債権をカバーできると表明した。Aaveの創設者Stani.ethもツイートし、AaveはResolv Labsの安定コインUSRに対してエクスポージャーはなく、Resolvは流動性提供者として資産を供給しているだけで、資産は安全だと述べている。その他、PendleやSommelierのようにUSRを生息資産として収益化しているプロトコルも、直接的な資金損失は免れたものの、プールの収益率や資産価値に間接的な影響を受けている。これらの事例は、DeFiエコシステムにおける残酷な現実を再認識させる。あるプロトコルの失敗は、他の複数のプロトコルの「連鎖崩壊」を引き起こす可能性が高い。特に、ある資産が広く担保として使われている場合、その影響は甚大だ。これらのプロトコル自体が攻撃されたわけではなくても、関連プロジェクトのリスク事象により、評判やビジネスに連鎖的なダメージを受ける。また、事件中に攻撃者が不正に発行した8千万USRを段階的にCurveやUniswapのUSR/USDC流動性プールに売却したことで、価格は激しく乱高下した。USRの価値崩壊により、流動性提供者は「インパーマネントロス」に直面し、最終的に保有資産のほぼすべてが脱錨USRとなったため、実質的な資本損失を被った。この現象は、取引量が少なく深度不足の新興資産流動性プールの構造的弱点を露呈している。十分な取引深度がないため、大量の売り圧に耐えられず、価格が瞬時に歪み、システムリスクが急速に拡散した。より広い視点から見ると、Resolv Labsの事件は単なる一つのプロジェクトの安全失守にとどまらず、暗号市場の投資家信頼に対する重い打撃となり、新たなステーブルコインの信頼危機を引き起こす可能性もある。ステーブルコインはDeFi活動の基盤であり、その脱錨や安全性の問題は、エコシステム全体の安定性を揺るがす。これにより、「アルゴリズム安定コイン」や「利息付安定コイン」の長期的な実現可能性に対する疑念が深まる。さらには、リスク回避型投資家が高リスクのDeFiから資金を引き揚げ、より成熟した資産やヘッジ戦略にシフトする動きも加速しかねない。この事件は、業界全体に警鐘を鳴らすものであり、特に現在の暗号市場が熊市局面にあり、リスク許容度が低い状況では、その警告の重要性は一層高まる。Resolvの「過度なオンチェーン署名者依存とオンチェーン検証の欠如」という問題は、「信頼モデルの崩壊」として業界内で認識されている。同時に、より安全な設計のために、多署名の導入やChainlink、Pythなどの分散型オラクルネットワークの活用、そして自動的な熔断メカニズムの組み込みが求められている。また、緊急対応の面でも、攻撃発生から2時間以上経過してからプロトコルを停止したことは、対応の遅さを露呈した。今後は、より迅速かつ自動化された危機対応システムの構築が必要だ。結び執筆時点で、Resolv Labsは全面的な賠償計画を公表していない。攻撃後もUSRを保有し続けるユーザーや、脱錨により損失を被ったユーザー、RLPトークンの保有者が被った損失に対しても、明確な補償策は示されていない。市場は今後の対応に注目している。この攻撃事件は、DeFiの「分散化」が技術的な革命なのか、それとも信頼の再構築なのかを問い直す契機となる。革新と安全性のバランスが崩れたとき、最小限の信頼に基づく根底的な仕組みへ回帰することこそ、効率とリスクの持続可能なバランスを見出す鍵となるだろう。
熊市の「定番シナリオ」が再び演じられる、Resolv Labsが「雷撃の略奪」とUSRのアンカー外し事件を振り返る
執筆者:Glendon、Techub News
3月22日、分散型利息安定コインの開発に特化したDeFiプロトコル開発者Resolv Labsがハッキング被害に遭った。オンチェーンのデータによると、「0 x04 A2」で始まる攻撃者のアドレスはわずか10万USDCを預けただけで、プロトコルの脆弱性を突いて5千万USR安定コインを発行した。その後、攻撃者は同じ手口でさらに10万USDCを預け、3千万USRを発行した。この間、Resolv Labs公式はツイートで攻撃を認め、すべてのプロトコル機能を停止し、復旧作業を進めていると発表した。
しかし、すでに手遅れだった。合計8千万USR(担保資産なし)が市場に急速に流入し、USRの価格は急落した。流動性の枯渇により取引時に大きなスリッページが発生し、USRの価値はさらに下落した。CoinMarketCapのデータによると、USRは一時約0.06ドルまで下落し、94%以上の下落を記録した(現在は約0.32ドルに回復しているが、「深刻な脱錨」状態は続いている)。特筆すべきは、攻撃者の資金洗浄の経路が明確かつ迅速であり、数時間以内に完了したことだ。彼らは違法に発行したUSRをwstUSRに変換し、CurveやUniswapなどの分散型取引所で大量に売却、USDCやUSDTに交換した後、これらの安定コインを約2500万ドル相当のイーサリアムに換金し、攻撃の利益を洗浄する「稲妻の略奪」を成功させた。
現在の低迷市場環境の中、Resolv Labsの攻撃は業界の信頼を再び打ち砕き、暗号コミュニティでは熊市の「定番シナリオ」の再演と見なされている。その原因は依然として、古くから語られる「発行メカニズムの設計問題」にある。
脆弱性の起源:発行メカニズムの三重の失陥
まず、Resolvの安定コインシステムは二層構造を採用していることを明確にすべきだ。USRはドルに1:1で連動する安定コインで、ユーザーはETHまたはBTCを預けてUSRを発行できる。デルタ・ニュートラル戦略を採用し、ETH/BTCの保有に対して同等の空売り永続ポジションを開設し、価格変動リスクを相殺してUSRの安定性を保つ仕組みだ。USRの保有者は、プロトコルの収益の一部を得ることができ、PendleやSommelierなどのDeFiプロトコルを通じて収益の集約に参加できる。
同時に、ResolvはResolv Liquidity Provider Token(RLP)を導入し、システムの「保険プール」として機能させている。これはヘッジ戦略に伴う清算、スリッページ、資金料の変動など潜在的な損失を吸収するためのものだ。今回の攻撃では、RLPも被害を免れなかった。CoinGeckoのデータによると、RLPの価格は1.38ドルから0.23ドルに下落し、83%以上の下落を記録したが、現在は0.98ドルに回復している。
では、Resolv Labsはどのようにしてハッカーの攻撃を受けたのか。セキュリティ企業PeckShieldや複数のオンチェーン分析者の分析によると、Resolv Labsの発行コントラクトの権限管理と検証メカニズムに深刻な設計欠陥があったことが根本原因だ。第一に、権限管理の致命的な脆弱性だ。正常な流れでは、ユーザーは担保を預けてUSRを発行し、その発行量は担保の価値と1:1に連動しているはずだが、攻撃者はSERVICE_ROLEの権限を悪用し、担保価値の検証を回避して、天文学的な発行量を設定した。これにより、20万ドルのUSDCで8千万USRを超高レバレッジで発行する操作が可能となった。
この設計の欠陥は、SERVICE_ROLEが直接発行量を決定する権限を持ち、「スーパー権限」に該当する点だ。プロトコルはマルチシグや分散署名ネットワークを採用せず、単一または少数の署名者に依存しているため、鍵の漏洩や侵害があった場合、システムは即座に崩壊する。
第二に、オンチェーンの金額検証メカニズムの欠如は重大なセキュリティリスクだ。Resolvの発行コントラクトは、オフチェーンの署名者が提供する発行量を完全に信頼しており、オンチェーン上で最大発行量(例:1回あたり最大100万USR)を設定したり、ChainlinkやPythなどのオラクルを用いて担保価値と発行量をリアルタイムで比較・検証したりしていない。これにより、攻撃者がオフチェーン署名者を制御したり、権限を得たりすれば、担保の充足を問わずUSRを自由に発行できる。この検証不足が今回のハッキングを容易にした。
第三に、デルタ・ニュートラル戦略の潜在的リスクも明らかになった。Resolvはこの戦略を用いてUSRを発行しているが、これも設計上の弱点を露呈した。デルタ・ニュートラルは、オフチェーン署名やオラクルと深く連動しており、これらの連携点が最も脆弱な攻撃面となる。一度署名者やオラクルに問題が生じると、発行メカニズムは混乱に陥る可能性がある。
今早朝、Resolv Labsは公式に攻撃の原因を説明した。今回の事件は、未承認の第三者によるインフラ侵入とネットワーク攻撃に起因している。攻撃者は漏洩した秘密鍵を用いてResolvのインフラに不正アクセスし、約8000万ドル相当の担保なしUSRを不正に発行した。
また、Resolvは攻撃者が所有していた約900万USRを既に焼却したと明らかにした。現在のUSR供給量は、事件前から存在していた1.02億USRと、新たに不正に発行された約7100万USRを含む。損失をできるだけ取り戻し、正常な秩序を回復するために、今日中に攻撃前のUSRの償還機能を有効化し、ホワイトリストに登録されたユーザーから順次開始する予定だ。なお、Resolvの担保資産には直接影響はなく、不正に発行されたUSRやその他の被害資産の追跡と制御を進めている。
これはResolv Labsが早期ユーザーに対して行う初期的な救済措置であり、同社が損失を軽減し、資金回収に努めていることを示している。しかし、この事件はすでに業界に連鎖反応を引き起こしている。
連鎖反応と教訓
Resolv Labsの事件の最も直接的な影響は、USRの深刻な脱錨とResolv LabsのネイティブトークンRESOLVの価格下落だ。RESOLVは一時16%以上下落し、0.052ドルまで落ちた。また、多くのDeFiプロトコルにも波及した。Curve FinanceのUSR/USDC流動性プールは瞬時に崩壊し、Morphoの貸借市場ではUSRやwstUSRを担保とする貸付市場がほぼ空になり、多数のユーザーがUSRの脱錨により強制清算のリスクに直面した。
しかし、Morphoの共同創設者Paul Frambotはツイートで、Resolv Labsの攻撃がMorphoに与えた影響はそれほど大きくないと述べている。主にUSRや関連資産(例:RPL)と、それらを担保とした貸付市場に影響しただけで、約500の預金額が1万ドル超のMorphoの金庫のうち、約15の金庫が影響を受けている。
また、Resolvと連携する他のプロトコルやエコシステムパートナーも重大な影響を受けず、緊急措置を余儀なくされた例もある。DeFiリスク管理プロトコルのGauntletは、Gauntlet USD AlphaはUSRやRLPのポジションを保有しておらず、プラットフォームの金庫も影響を受けていないと強調し、Resolvと協議中の解決策を示した。残存資金については補償案を策定中だ。
DeFiプロトコルのFluidは、短期融資を受けており、現在の不良債権をカバーできると表明した。Aaveの創設者Stani.ethもツイートし、AaveはResolv Labsの安定コインUSRに対してエクスポージャーはなく、Resolvは流動性提供者として資産を供給しているだけで、資産は安全だと述べている。その他、PendleやSommelierのようにUSRを生息資産として収益化しているプロトコルも、直接的な資金損失は免れたものの、プールの収益率や資産価値に間接的な影響を受けている。
これらの事例は、DeFiエコシステムにおける残酷な現実を再認識させる。あるプロトコルの失敗は、他の複数のプロトコルの「連鎖崩壊」を引き起こす可能性が高い。特に、ある資産が広く担保として使われている場合、その影響は甚大だ。これらのプロトコル自体が攻撃されたわけではなくても、関連プロジェクトのリスク事象により、評判やビジネスに連鎖的なダメージを受ける。
また、事件中に攻撃者が不正に発行した8千万USRを段階的にCurveやUniswapのUSR/USDC流動性プールに売却したことで、価格は激しく乱高下した。USRの価値崩壊により、流動性提供者は「インパーマネントロス」に直面し、最終的に保有資産のほぼすべてが脱錨USRとなったため、実質的な資本損失を被った。この現象は、取引量が少なく深度不足の新興資産流動性プールの構造的弱点を露呈している。十分な取引深度がないため、大量の売り圧に耐えられず、価格が瞬時に歪み、システムリスクが急速に拡散した。
より広い視点から見ると、Resolv Labsの事件は単なる一つのプロジェクトの安全失守にとどまらず、暗号市場の投資家信頼に対する重い打撃となり、新たなステーブルコインの信頼危機を引き起こす可能性もある。ステーブルコインはDeFi活動の基盤であり、その脱錨や安全性の問題は、エコシステム全体の安定性を揺るがす。これにより、「アルゴリズム安定コイン」や「利息付安定コイン」の長期的な実現可能性に対する疑念が深まる。さらには、リスク回避型投資家が高リスクのDeFiから資金を引き揚げ、より成熟した資産やヘッジ戦略にシフトする動きも加速しかねない。
この事件は、業界全体に警鐘を鳴らすものであり、特に現在の暗号市場が熊市局面にあり、リスク許容度が低い状況では、その警告の重要性は一層高まる。Resolvの「過度なオンチェーン署名者依存とオンチェーン検証の欠如」という問題は、「信頼モデルの崩壊」として業界内で認識されている。同時に、より安全な設計のために、多署名の導入やChainlink、Pythなどの分散型オラクルネットワークの活用、そして自動的な熔断メカニズムの組み込みが求められている。
また、緊急対応の面でも、攻撃発生から2時間以上経過してからプロトコルを停止したことは、対応の遅さを露呈した。今後は、より迅速かつ自動化された危機対応システムの構築が必要だ。
結び
執筆時点で、Resolv Labsは全面的な賠償計画を公表していない。攻撃後もUSRを保有し続けるユーザーや、脱錨により損失を被ったユーザー、RLPトークンの保有者が被った損失に対しても、明確な補償策は示されていない。市場は今後の対応に注目している。
この攻撃事件は、DeFiの「分散化」が技術的な革命なのか、それとも信頼の再構築なのかを問い直す契機となる。革新と安全性のバランスが崩れたとき、最小限の信頼に基づく根底的な仕組みへ回帰することこそ、効率とリスクの持続可能なバランスを見出す鍵となるだろう。