リゾルブのステーブルコイン「USR」がハッキング被害でデペッグ発生
分散型金融(DeFi)プロトコル「リゾルブ(Resolv)」が発行するドル連動型ステーブルコイン「USR」を巡るインシデントが明らかになった。同プロトコルを開発するリゾルブラボ(Resolv Labs)のXアカウントで、3月22日に被害が報告され、翌23日に調査内容と今後の対応が発表された。
リゾルブラボによると、第三者が侵害された秘密鍵を通じてリゾルブインフラに不正アクセスし、約8,000万ドル(約127億円)相当のUSRのミント(鋳造)を行ったとのこと。これにより裏付けのないUSRが発行されたという。
その後、攻撃者は発行したUSRを分散型取引所などで売却し、ドル連動型ステーブルコイン「USDC」や「USDT」を経由してイーサリアム(ETH)に交換したとみられている。複数のブロックチェーン分析企業などによると、攻撃者が換金した金額は約2,300万ドル(約36.5億円)〜2,500万ドル(約39.7億円)規模と推定されている。
この影響により、USRはドルとの価格連動(ペッグ)を維持できなくなった。暗号資産(仮想通貨)データサイト「コインゲッコー(CoinGecko)」によると、インシデント発生後、USRの価格は1ドル付近から一時0.2ドル(約31.7円)台まで下落した。記事執筆時点でもペッグは完全には回復していない。
なお今回の攻撃について、ブロックチェーン分析企業チェイナリシス(Chainalysis)が分析を行っている。同社のレポートによると、今回のインシデントはUSRの発行承認に関する仕組みに起因する可能性がある。同レポートでは、USRの発行量がオフチェーンの署名プロセスによって承認されており、その際に使用される特権的な秘密鍵が侵害された可能性が指摘されている。また、スマートコントラクト側に発行量の上限チェックなどが存在しなかった点も問題とされている。
また、データ分析プラットフォームのルートデータ(RootData)に掲載された調査レポートでは、オラクルの操作やオフチェーンサイナーの漏洩、発行量の検証不備など複数の要因が関与した可能性を指摘されている。
さらにDeFiファンドのD2ファイナンス(D2 Finance)は、アカウントを追跡し資産の経路を分析している。まず攻撃者は約10万ドル(約1,587万円)規模のUSDCを預け入れたにもかかわらず、約5,000万USRを受け取るトランザクションが確認されており、本来想定される発行量を大きく上回る異常なミントが発生していたとされる。さらに、その後追加で約3,000万USRが発行されたとされており、合計で約8,000万USRが不正に市場に流入したとみられている。
なお今回のインシデントは、DeFi市場にも波及している。USRおよびそのステーキング版トークンは、一部のレンディングプロトコルにおいて担保資産として利用されていた。これにより、価格が下落したUSRを担保に資産を借り入れる動きが発生し、流動性の流出につながった可能性がある。
特に、モルフォ(Morpho)上でガントレット(Gauntlet)が運用方針を設計するボールトにおいて、USRに関連する資金配分が確認されている。ガントレットは、多くのボールトは影響を受けていないと説明している一方で、一部の高利回り戦略に限定的な影響があった可能性も示唆している。
リゾルブラボは、今回のインシデントを受けてプロトコル機能を一時停止したと発表している。また、担保資産については「損失は発生していない」と説明している。
同社は、不正に発行されたUSRの影響を軽減するため一部トークンのバーン(焼却)を実施したほか、法執行機関およびオンチェーン分析企業と連携し、攻撃者の特定を進めているとしている。また、インシデント前に発行されたUSR保有者に対しては、償還機能の再開を段階的に進める方針を示している。
This notice is issued on behalf of Resolv Digital Assets Ltd. in relation to the Resolv protocol.
— Resolv Labs (@ResolvLabs) March 22, 2026
Earlier today, a malicious actor gained unauthorized access to Resolv infrastructure through compromised private key, resulting in the minting of approximately $80M of…
🚨 @ResolvLabs USR just got exploited: here’s the full on-chain breakdown
— D2 Finance (@D2_Finance) March 22, 2026
h/t @yieldsandmore who flagged this first | data via @ArkhamIntel
An attacker deposited 100K USDC into Resolv’s USR Counter contract via requestSwap and received 49,950,000 USR back (~$39M)
That’s a 500×… pic.twitter.com/ldEyvCogDm
@gauntlet_xyz “most Gauntlet vaults are unaffected” and “a few high-yield vaults had limited exposure”
— D2 Finance (@D2_Finance) March 22, 2026
But the @Morpho frontend shows Gauntlet USDC Core (your flagship vault, not a high-yield frontier product ) has $4.95M allocated to the wstUSR/USDC market.
That market is at… https://t.co/sXYugykYLI pic.twitter.com/mNASruAd2k
参考:チェイナリシス・コインゲッコー ・ルートデータ
画像:PIXTA