Resolv 遭駭事件：私鑰外洩如何導致 2300 萬美元被憑空印出

背景

Resolv 協議近期遭遇重大安全事故，攻擊者透過取得該專案 AWS 帳戶的權限，進而掌握存放在金鑰管理服務（KMS）中的離線私鑰。由於該智慧合約設計允許持有私鑰者無限制鑄造代幣，攻擊者藉此憑空印製了價值約 2,300 萬美元的資產，並在協議功能被緊急凍結前成功提現。

社群觀點

Hacker News 的討論聚焦於這起事件究竟應定義為「程式碼漏洞」還是「傳統資安疏失」。部分評論者指出，這並非典型的智慧合約邏輯漏洞，而是基礎設施安全管理的潰敗。攻擊者並非破解了合約，而是直接拿到了「大門鑰匙」。然而，這種觀點遭到不少反對，批評者認為如果一個去中心化協議的安全性完全依賴於單一離線私鑰，且該私鑰能無限制鑄造代幣，那麼這種架構本身就是一種設計缺陷。有人諷刺地表示，這正是所謂「程式碼即合約」的體現，既然規則允許持有金鑰者操作，那麼這場「自發性漏洞賞金」也只是按設計運行而已。

針對穩定幣的本質，社群展開了激烈的辯論。許多人質疑，如果管理員在出事時能隨時「鎖定所有交易」，那麼這種資產與傳統金融系統相比究竟有何去中心化的優勢？支持者認為，穩定幣的價值在於跨國轉帳的便利性，尤其是在傳統銀行體系效率低下或對特定行業（如成人產業、博弈）不友善的地區，穩定幣提供了低摩擦的支付管道。但反對者則反駁，這種需求往往源於逃避監管或洗錢，且對於大多數身處成熟金融體系的用戶而言，穩定幣更像是一個「尋找問題的解決方案」，其風險遠高於收益。

此外，關於這是否為「內鬼所為」的猜測也佔據了不少篇幅。有資深開發者分析，攻擊者能精準定位 AWS 帳戶中特定的 KMS 金鑰，並迅速執行鑄造與提現流程，顯示其對內部架構極為熟悉。在加密貨幣領域，這類「假駭客、真捲款」的案例屢見不鮮，因此社群普遍對官方的「遭駭」說法抱持懷疑態度。討論最後延伸到監管議題，有人將加密貨幣亂象歸咎於政治人物對監管的消極，但也有人提醒，法律制定權在國會而非行政部門，且過度監管可能會將合法需求推向更危險的黑市。

延伸閱讀

• Chainalysis 針對 Resolv 攻擊事件的技術分析報告：詳細記錄了私鑰遭竊與資金流向的技術細節。
• 關於美國財政部可能放寬比特幣混幣器（Bitcoin Mixers）禁令的相關報導：討論 Tornado Cash 等工具在法律地位上的轉變。
• OFAC 針對北韓 IT 勞工利用加密貨幣資助大規模殺傷性武器計畫的調查報告：揭示了加密資產在國際制裁環境下的角色。