Resolv LabsのステーブルコインUSRがディペグ、8,000万トークンの不正発行で2,500万ドル流出か

Resolv LabsのステーブルコインUSRがディペグ、8,000万トークンの不正発行で2,500万ドル流出か

by

暗号資産(仮想通貨)エコシステムにおいて、また一つステーブルコインの脆弱性を突いた大規模なインシデントが発生した。ターゲットとなったのは、Resolv Labsが展開するステーブルコイン「USR」だ。

今回の事案では、攻撃者がスマートコントラクトの不備を悪用し、裏付け資産のないトークンを大量に発行。その結果、米ドルとの価値の連動(ペグ)が大きく外れる「ディペグ」が発生する事態となっている。

プロトコル側は即座に機能を停止し、事態の収拾に当たっているが、攻撃者はすでに多額の資産を他の通貨へ換金し、逃走を図っている。この事件の背景には、DeFi(分散型金融)における検証プロセスの甘さや、オラクルの挙動に関する根深い課題が浮き彫りになっている。

もくじ
  1. Resolv Labsで発生した不正発行の全容
  2. 攻撃者による「教科書通り」の換金プロセス
  3. Curve Financeでのフラッシュクラッシュ
  4. 2026年のハッキング動向と背景
  5. 独自の分析:新興ステーブルコインが直面する「検証の壁」
  6. この記事のポイント
  7. 出典

Resolv Labsで発生した不正発行の全容

Resolv Labsで発生した不正発行の全容

2026年3月22日、Resolv Labsのステーブルコイン「USR」が、悪意のある攻撃者によって不正に発行される事件が発生した。オンチェーンデータによれば、攻撃者はわずか10万ドル相当のUSDC(米ドル連動型ステーブルコイン)を預け入れるだけで、5,000万ドル相当のUSRをミント(新規発行)することに成功したという。

ETHUSD by TradingView

ミント(Mint)とは、スマートコントラクトを通じて新しいトークンを生成するプロセスのことだ。通常、ステーブルコインの発行には同等の価値を持つ担保資産が必要だが、今回はこの仕組みが正しく機能しなかった。セキュリティ企業PeckShieldの報告によれば、攻撃者はその後さらに300万トークンを追加で発行し、不正発行の総額は約8,000万USRに達したとされている。

この異常事態を受けて、Resolv Labsは公式X(旧Twitter)にて、悪意のある行為を防ぐためにプロトコルの全機能を一時停止したと発表した。チームは現在、被害の全容把握と復旧作業に全力を挙げている状況だ。

わずかな担保で巨額のトークンが生成された背景

今回の攻撃で注目すべきは、攻撃者が投じたコストと得られたリターンの異常な乖離だ。本来、1ドル相当のステーブルコインを発行するには、1ドル以上の担保が必要となるのがDeFiの鉄則である。しかし、今回のケースでは10万ドルのUSDCが5,000万ドルのUSRに化けてしまった。

これは、USRを発行する際の「預け入れ額」と「発行額」を照合するプロセスに致命的な欠陥があったことを示唆している。オンチェーンアナリストの「yieldsandmore」氏は、攻撃直後にUSRの価格が急落したことを示すデータを共有し、市場に警鐘を鳴らした。

セキュリティ専門家による初期分析

暗号資産ファンドのD2 Financeは、USRのスマートコントラクトにおけるミント機能が何らかの形で損なわれていたと分析している。考えられる原因として、価格を参照する「オラクル」の操作、オフチェーンでの署名プロセスの漏洩、あるいは要求額と完了額の検証不足などが挙げられている。

オラクル(Oracle)とは、ブロックチェーンの外にある現実世界のデータ(この場合は価格情報など)をブロックチェーン内に取り込む仕組みのことだ。もしこのオラクルが不正な価格を報告するように操作されれば、システムは誤った計算に基づいて過剰なトークンを発行してしまう可能性がある。

攻撃者による「教科書通り」の換金プロセス

攻撃者による「教科書通り」の換金プロセス

大量のUSRを手に入れた攻撃者は、すぐさまその価値を確定させるための行動に移った。D2 Financeの報告によれば、攻撃者は不正発行した5,000万USRを複数のプロトコルへ分散して送金し、他のステーブルコインであるUSDCやUSDT(テザー)へと交換を開始した。

さらに、これらのステーブルコインを「アグレッシブ」にイーサリアム(ETH)へと変換したという。ETHは記事執筆時点で約2,115ドルで取引されているが、攻撃者は市場価格への影響を顧みず、猛スピードで換金を進めた。D2 Financeはこの一連の動きを「DeFiハックにおける教科書通りのキャッシュアウト(換金)」と表現している。

流動性の枯渇と深刻なスリッページ

攻撃者による強引な売り浴びせは、USRの流動性プールに壊滅的な打撃を与えた。流動性プールとは、ユーザーがトークンを交換できるように資産が蓄えられた「貯蔵庫」のようなものだが、攻撃者が一方的にUSRを売り、他の資産を引き出したことで、プールのバランスが崩壊した。

これにより、深刻な「スリッページ」が発生した。スリッページとは、注文時の価格と実際の約定価格の差のことだ。流動性が乏しくなった市場では、少しの売りでも価格が大きく動いてしまう。一時は1ドルであるはずのUSRが、特定の取引において50セント(約0.5ドル)まで暴落する場面も見られた。

推定2,500万ドルの資金流出

D2 Financeの推計によれば、攻撃者はUSRのディペグが進行する中で、最終的に約2,500万ドル相当の資産をプロトコルから抽出することに成功した。8,000万トークンを全額満額で換金できたわけではないが、市場の流動性を限界まで吸い取った形となる。

オンチェーン上では、焦った攻撃者が送信したと思われる「失敗したトランザクション(取引)」も多数確認されており、一刻も早く資金を逃がそうとする切迫した状況が伺える。現在、USRの価格は1ドルから約13%乖離した87セント付近で推移しているが、信頼回復への道のりは険しい。

Curve Financeでのフラッシュクラッシュ

Curve Financeでのフラッシュクラッシュ

今回の事件で最も劇的な価格変動が記録されたのは、分散型取引所(DEX)のCurve Financeだった。USRにとって最大の流動性を持つ「USR/USDCプール」において、USRの価格は一時2.5セントという、ほぼ無価値に近い水準まで急落した。

DEX Screenerのデータによると、このフラッシュクラッシュ(瞬間的な暴落)は、攻撃者が5,000万USRをミントしてからわずか17分後の、協定世界時(UTC)日曜午前2時38分に発生した。その後、一部の買い戻しや調整により価格は84.5セントまで持ち直したが、依然として「1ドル」というステーブルコインの定義からは程遠い状態にある。

ステーブルコインとしての信頼性崩壊

ステーブルコインにおいて、価格が1ドルを維持できなくなる「ディペグ」は、そのプロジェクトの死を意味しかねない致命傷だ。特に今回のように、システム内部の脆弱性によって裏付けのないトークンが氾濫した場合、ユーザーが再びそのコインを「1ドルの価値がある」と信じるのは非常に困難である。

Curve Financeのような主要なDeFiプロトコルでこれほどの価格乖離が発生したことは、USRを利用していた他のDeFi戦略やレンディングプロトコルにも連鎖的な影響を及ぼしている可能性がある。清算の連鎖こそ報告されていないが、エコシステム全体が緊張感に包まれている。

2026年のハッキング動向と背景

2026年のハッキング動向と背景

今回のResolv Labsの事件は、2026年に入ってから発生した一連のサイバー犯罪の流れを汲むものだ。興味深いことに、2026年2月の暗号資産関連のハック被害額は4,900万ドルにとどまり、1月の3億8,500万ドルと比較して大幅に減少していた。

しかし、今回の事件だけで2,500万ドルが失われたことを考えると、3月の被害額は再び跳ね上がることが予想される。攻撃者の手法も変化しており、最近ではプロトコルそのものの脆弱性を突くよりも、フィッシング詐欺や承認スキーム(Approval Scam)を悪用した個人攻撃が増加傾向にあった。その中での今回の「プロトコル直撃」は、開発者たちに改めてコードの安全性を問い直す警鐘となった。

「Ghostblade」などのマルウェアの脅威

Googleの脅威分析チーム(Google Threat Intel)は最近、暗号資産を盗み出す「Ghostblade」と呼ばれるマルウェアの存在を指摘している。このように、技術的な脆弱性だけでなく、ソーシャルエンジニアリングやマルウェアを組み合わせた多角的な攻撃が常態化しているのが現在の暗号資産市場の現状だ。

Resolv Labsのような新興プロジェクトにとって、これらの高度な攻撃から資産を守り抜くには、単なる監査(オーディット)だけでは不十分であり、リアルタイムの監視体制や、異常を検知した際の自動停止機能の実装が不可欠となっている。

独自の分析:新興ステーブルコインが直面する「検証の壁」

独自の分析:新興ステーブルコインが直面する「検証の壁」

今回のResolv Labsのインシデントは、新興のステーブルコインプロジェクトが陥りやすい「検証の甘さ」を露呈した。特に、デルタニュートラル戦略や複雑な利回り生成メカニズムを持つ次世代型ステーブルコインは、その複雑さゆえに、ミント(発行)とリディーム(償還)のプロセスに思わぬ死角が生じやすい。

筆者の見解では、今回のハックの根本原因は「金額の整合性チェック」という、金融システムにおける最も基本的なバリデーション(検証)が欠落していた点にある。10万ドルの入金に対して5,000万ドルの発行を許してしまったのは、スマートコントラクトが「入力された数字」をそのまま信じてしまった結果だろう。これは、現実の銀行で言えば、1万円預けて500万円の通帳記帳を許すようなものだ。

オラクル依存のリスクと分散化のジレンマ

また、D2 Financeが指摘するように、オラクルの操作やオフチェーン署名の漏洩が関与していた場合、問題はさらに根深い。DeFiは分散化を是とするが、価格情報の取得や複雑な計算をオフチェーン(ブロックチェーン外)に頼らざるを得ない場面が多い。この「オフチェーンとオンチェーンの接点」こそが、現在のDeFiにおける最大の弱点となっている。

今後、ステーブルコインプロジェクトが信頼を勝ち取るためには、単一の監査法人によるチェックだけでなく、バグバウンティ(バグ発見報奨金)の常設や、ミント額に制限を設ける「サーキットブレーカー」のような多層的な防御策が標準装備されるべきだろう。ユーザー側も、高い利回りに目がくらむことなく、そのプロジェクトがどのような検証プロセスを経てトークンを発行しているのかを注視する必要がある。

この記事のポイント

  • Resolv Labsのステーブルコイン「USR」が脆弱性を突かれ、約8,000万トークンが不正発行された。
  • 攻撃者は10万ドルのUSDCを担保に5,000万USRを生成し、最終的に約2,500万ドルを換金して逃走した。
  • USR価格はCurve Financeで一時2.5セントまで暴落し、現在は87セント付近でディペグ状態が続いている。
  • 原因はスマートコントラクトの検証不備やオラクルの操作の可能性が指摘されており、プロトコルは現在停止中。
  • 2026年のハッキング被害は減少傾向にあったが、今回の事件で再びセキュリティへの懸念が高まっている。

出典

  • Cointelegraph「Resolv Labs’ stablecoin depegs as attacker mints millions of tokens」(2026年3月22日)
  • DEX Screener「USR / USDC – Curve」(2026年3月22日確認)
  • CoinGecko「Resolv USR (USR) Price Chart」(2026年3月22日確認)
共有:

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)