Kẻ tấn công đã tạo ra 80 triệu token USR không có tài sản đảm bảo, khiến stablecoin này sụp đổ hơn 95% và rút ra khoảng $25 triệu bằng ETH.
Stablecoin USR của Resolv Labs đã mất liên kết với đô la vào ngày 22 tháng 3 sau khi kẻ tấn công khai thác các lỗ hổng trong cơ chế đúc token của giao thức để tạo ra 80 triệu token không có tài sản đảm bảo, gây ra sự sụp đổ giá hơn 95% và thiệt hại khoảng $25 triệu.
Kẻ tấn công đã gửi từ $100,000 đến $200,000 bằng USDC, sau đó khai thác các điểm yếu trong các hàm requestSwap và completeSwap của Resolv để đúc khoảng 80 triệu token USR, đại diện cho mức lạm phát từ 400x đến 500x so với tài sản thế chấp được cung cấp. Nguyên nhân gốc rễ bắt nguồn từ các lỗi thiết kế nghiêm trọng: tài khoản đặc quyền được kiểm soát bởi một khóa duy nhất, không có oracle hoặc kiểm tra số lượng, và không có giới hạn đúc tối đa.
USR đã sụp đổ từ mức neo $1 xuống thấp nhất là $0.025 trước khi phục hồi một phần lên khoảng $0.40 đến $0.80. Kẻ tấn công đã chuyển đổi khoảng $23 triệu đến $25 triệu giá trị USR thành ETH và di chuyển tiền qua nhiều ví trong những nỗ lực rửa tiền rõ ràng. Resolv Labs ngay lập tức tạm dừng hoạt động của giao thức và thông báo về việc cho phép đổi tiền theo danh sách trắng bắt đầu từ ngày 23 tháng 3.
Vụ khai thác Resolv làm nổi bật các lỗ hổng dai dẳng trong cơ chế đúc của DeFi. Việc thiếu các biện pháp bảo vệ cơ bản, bao gồm xác minh giá oracle và giới hạn đúc, đã cho phép một khoản tiền gửi tương đối nhỏ tạo ra hàng trăm triệu token không có tài sản đảm bảo. Nhiều giao thức cho vay bao gồm Morpho, Fluid và Euler đã nhanh chóng vô hiệu hóa USR làm tài sản thế chấp, hạn chế sự lây lan trên toàn bộ DeFi.
KyberSwap đã chặn tất cả các ví liên quan đến kẻ tấn công vào ngày 23 tháng 3, ngăn chặn các giao dịch hoán đổi tiếp theo thông qua nền tảng tổng hợp của nó. Sự cố này bổ sung vào danh sách ngày càng tăng các stablecoin mất peg trong năm 2026 và đặt ra câu hỏi về phạm vi kiểm toán cho các giao thức DeFi mới hơn.
Resolv Labs đã bắt đầu cho phép đổi tiền theo danh sách trắng cho người dùng bị ảnh hưởng bắt đầu từ ngày 23 tháng 3. Nhóm chưa xác nhận liệu có kế hoạch bồi thường hay không. Các nhà điều tra on-chain đang theo dõi các chuyển động của ví kẻ tấn công, với khoảng $25 triệu bằng ETH vẫn được phân phối trên nhiều địa chỉ. Cộng đồng DeFi rộng lớn hơn đang theo dõi liệu các giao thức cho vay nắm giữ tài sản thế chấp USR có phải đối mặt với sự tràn lan nợ xấu hay không.
Đây là một câu chuyện đang phát triển. Vụ khai thác nhấn mạnh tại sao kiểm toán cơ chế đúc và các biện pháp kiểm soát bảo mật cơ bản vẫn rất quan trọng đối với các giao thức DeFi xử lý tiền của người dùng.
Tuyên bố miễn trừ: Nội dung tin tức chỉ dành cho mục đích thông tin và không nên được coi là tư vấn tài chính. Điều kiện thị trường có thể thay đổi nhanh chóng. Luôn tự nghiên cứu.
