Stablecoin USR Resolv Depeg Setelah Eksploitasi $80 Juta

Penyerang menyetor antara $100.000 hingga $200.000 dalam USDC, kemudian mengeksploitasi kelemahan dalam fungsi requestSwap dan completeSwap Resolv untuk mencetak sekitar 80 juta token USR, yang mewakili inflasi 400x hingga 500x dari kolateral yang disediakan. Penyebab utamanya berasal dari kegagalan desain kritis: akun istimewa yang dikendalikan kunci tunggal, tidak ada oracle atau pemeriksaan jumlah, dan tidak ada batas pencetakan maksimum.

USR jatuh dari pasak $1 menjadi serendah $0,025 sebelum pulih sebagian ke kisaran $0,40 hingga $0,80. Penyerang mengonversi sekitar $23 juta hingga $25 juta USR menjadi ETH dan memindahkan dana ke berbagai dompet dalam upaya pencucian uang. Resolv Labs segera menghentikan operasi protokol dan mengumumkan penebusan yang diizinkan dimulai 23 Maret.

Eksploitasi Resolv menyoroti kerentanan yang persisten dalam mekanisme pencetakan DeFi. Kurangnya perlindungan dasar, termasuk verifikasi harga oracle dan batas pencetakan, memungkinkan deposit yang relatif kecil menghasilkan ratusan juta token tanpa jaminan. Beberapa protokol lending termasuk Morpho, Fluid, dan Euler dengan cepat menonaktifkan USR sebagai kolateral, membatasi penularan di seluruh DeFi.

KyberSwap memblokir semua dompet yang terkait dengan penyerang pada 23 Maret, mencegah swap lebih lanjut melalui platform agregatornya. Insiden ini menambah daftar yang terus bertambah dari depeg stablecoin di tahun 2026 dan menimbulkan pertanyaan tentang cakupan audit untuk protokol DeFi yang lebih baru.

Resolv Labs telah memulai penebusan yang diizinkan untuk pengguna yang terkena dampak mulai 23 Maret. Tim belum mengkonfirmasi apakah rencana kompensasi akan ditawarkan. Investigator on-chain melacak pergerakan dompet penyerang, dengan sekitar $25 juta dalam ETH masih tersebar di berbagai alamat. Komunitas DeFi yang lebih luas memperhatikan apakah protokol lending yang memegang kolateral USR akan menghadapi spillover utang buruk.