#ResolvLabsがエクスプロイト攻撃の被害に

インシデントの詳細分析

何が起こったのか
2026年3月23日、デルタニュートラル・ステーブルコイン・インフラに特化したDeFiプロトコル「Resolv Labs」が重大なセキュリティ侵害を受けました。攻撃者は、プロトコルのスマートコントラクト・アーキテクチャの脆弱性、特にRSLVステーブルコイン・コントラクトのミント関数の脆弱性を悪用しました。入力検証ロジックを操作することで、攻撃者は担保チェックを回避し、同等の担保をデポジットすることなく過剰な量のRSLVトークンをミントすることができました。

攻撃フロー・オンチェーン証拠
イベントを監視していたブロックチェーン・セキュリティ企業によると、エクスプロイトは単一のトランザクション(ハッシュ: 0x…c3a7)で発生しました。攻撃者は以下を実行しました:

1. 管理者権限を保持していた廃止されたデプロイ・ウォレットを呼び出した。
2. それらの権限を使用して、プロトコルのマルチシグネチャ・ガバナンスで保護されていない特権的なミント関数を実行した。
3. 1回のバッチで1,400,000のRSLVトークンをミントした。
4. 新しくミントされたRSLVを分散型取引所で約420 ETHにスワップした。
5. ETHをクロスチェーンブリッジ経由で別のチェーン(Avalanche)にブリッジして、資金を筆頭された。

即座な影響

· 総損失: 現在の市場相場で約140万ドル。
· プロトコルTVL: 流動性プロバイダーが急いで引き出す中、数分以内に820万ドルから680万ドルに低下。
· ステーブルコインのペグ: RSLVが一時的に0.92ドルまで下落した後、チームがコントラクトを一時停止し、0.98ドル付近で安定化。

チームの対応
Resolv Labsは30分以内にインシデントを認識しました。実施されたアクション:

· 緊急マルチシグ経由で全てのコントラクト相互作用を一時停止。
· 侵害されたデプロイ・ウォレットを無効化。
· Chainalysisおよび3つの独立したオンチェーン・フォレンジックス・チームと連携し、盗まれた資金を追跡。
· ユーザーに対し、RSLVコントラクト・アドレスおよび関連するLPプール承認を取り消すようアドバイス。
· 72時間以内にリリースされるポストモーテムと、影響を受けた流動性プロバイダーへの補償計画を発表。

セキュリティの教訓
このエクスプロイトは、DeFiを継続的に悩ませている2つの重大な脆弱性を浮き彫りにします:

· 特権キー管理: 侵害されたデプロイ・ウォレットは、デプロイ後もミント権を保持していました—一般的な過失です。
· 粒度の細かいアクセス制御: トークン供給を変更できる機能は、単一の秘密鍵ではなく、時間ロックとマルチステップ承認によってガバナンスされる必要があります。

このインシデントは、複数の監査を受けたプロトコルであっても、特権アドレス周りの運用セキュリティが厳密に維持されていない場合は、リスクに直面することを思い出させるものです。

次のステップ
Resolv Labsは、第三者による監査後に新しいコントラクト・スイートをデプロイし、影響を受けたユーザーに回復トークンをエアドロップすることを表明しています。コミュニティは、保険または財務基金が損失をカバーするために使用されるかどうかを理解するために、詳細なポストモーテムを待っています。

---

#DeFiExploit #ResolvLabs #SmartContractVulnerability #StablecoinSecurity