Vào lúc 2 giờ 21 phút sáng Chủ nhật theo giờ phối hợp quốc tế (UTC), các hacker đã lợi dụng lỗ hổng kiểm soát truy cập trong hợp đồng đúc USR của giao thức stablecoin Resolv để tạo ra hơn 80 triệu mã USR bằng khoảng 200.000 USD USDC, sau đó dùng sàn giao dịch để trộm khoảng 25 triệu USD. Ngay lập tức, USR trên Curve Finance đã sụp đổ xuống còn 0,025 USD.
Cơ chế tấn công: cách hợp đồng đúc bị lợi dụng
(nguồn: Etherscan)
Tài khoản X, YieldsAndMore, là người ghi nhận sớm nhất các giao dịch bất thường này: hacker gửi vào hợp đồng USR Counter của Resolv 100.000 USDC, nhưng nhận về 50 triệu USR, gấp khoảng 500 lần số lượng bình thường; sau đó, qua giao dịch thứ hai, hacker đúc thêm 30 triệu USR, tổng cộng khoảng 80 triệu mã.
Nhà phân tích blockchain Andrew Hong cho rằng nguyên nhân của lỗ hổng nằm ở vai trò đặc quyền SERVICE_ROLE của giao thức. Vai trò này dùng để thực hiện các yêu cầu đổi token, nhưng chỉ do các tài khoản ngoại (EOA) kiểm soát, chứ không phải hệ thống đa chữ ký an toàn hơn. Thêm vào đó, hợp đồng đúc hoàn toàn thiếu các kiểm tra giá từ oracle, giới hạn số lượng, và hạn mức đúc token.
Quỹ DeFi D2 Finance đề xuất ba khả năng tấn công: oracle bị chỉnh sửa, ký dưới ngoài chuỗi bị xâm phạm, hoặc thiếu xác thực số lượng giữa yêu cầu đúc và hoàn tất.
Tác động thị trường: hiệu ứng mất peg lan rộng sang hệ sinh thái vay DeFi
(nguồn: Trading View)
Sau 17 phút kể từ khi đúc token, USR trên pool thanh khoản của Curve Finance đã sụp còn 0,025 USD, rồi hồi phục lên khoảng 0,85 USD, nhưng vẫn chưa hoàn toàn lấy lại được peg. Địa chỉ chính của hacker (bắt đầu bằng 0x04A2) cuối cùng nắm giữ 11.409 mã ETH, trị giá khoảng 23,7 triệu USD; một địa chỉ liên quan khác nắm giữ khoảng 1,1 triệu USD token wstUSR.
Hiệu ứng dây chuyền của việc USR mất peg
Thanh khoản các nền tảng vay bị tổn thất: USR và wstUSR được các nền tảng như Morpho và Gauntlet chấp nhận làm tài sản thế chấp. Sau khi mất peg, một số nhà đầu cơ đã mua USR với giá chiết khấu và cho vay USDC theo mệnh giá, làm cạn kiệt thanh khoản của các kho chứa.
Giao thức bảo hiểm RLP bị áp lực: Như một cơ chế hấp thụ thiệt hại, pool thanh khoản của Resolv (RLP) trước tấn công có khoảng 38,6 triệu USD vốn lưu động. Người nắm giữ lớn nhất, Stream Finance, đang nắm giữ 13,6 triệu RLP trong Morpho, với mức rủi ro ròng khoảng 17 triệu USD.
Giá token quản trị RESOLV giảm: Ảnh hưởng của sự kiện khiến RESOLV giảm khoảng 8,5% trong 24 giờ.
Dù Resolv Labs tuyên bố rằng các pool thế chấp “hoàn toàn nguyên vẹn”, các nhà phân tích on-chain cho rằng, bản chất của vụ tấn công này là do cung tiền tăng đột biến chứ không phải trộm trực tiếp tài sản thế chấp. 80 triệu mã token mới đã làm loãng lượng lưu hành hiện tại, hành vi bán tháo của hacker đã phá hỏng tính thanh khoản, và người dùng nắm giữ USR trong thời gian đó đã chịu thiệt hại thực tế.
Hạn chế của kiểm toán an ninh và sự phối hợp chính sách quản lý
CEO Cyvers, Deddy Lavid, nói rằng: “Chỉ dựa vào kiểm toán là không đủ, nếu không theo dõi đúc và cung theo thời gian thực, thì vào những thời điểm quan trọng, chúng ta như bị mù.” Trang web của Resolv tuyên bố đã hoàn tất 14 cuộc kiểm toán của 5 tổ chức và thiết lập chương trình thưởng lỗi Immunefi trị giá 500.000 USD.
Thời điểm xảy ra vụ việc rất nhạy cảm. Các cơ quan lập pháp Mỹ đang tích cực thúc đẩy quy định về stablecoin sinh lợi dựa trên Đạo luật GENIUS. Nhiều thượng nghị sĩ chủ chốt đã đạt thỏa thuận nguyên tắc về cách xử lý lợi nhuận stablecoin trước ngày xảy ra tấn công. Ngoài ra, theo báo cáo mới nhất của Immunefi, trung bình thiệt hại trong các vụ tấn công tiền mã hóa năm 2026 là khoảng 25 triệu USD, số tiền của vụ này phù hợp với mức trung bình ngành.
Các câu hỏi thường gặp
USR là loại stablecoin nào, tại sao lại mất peg?
USR là stablecoin USD gắn liền do Resolv Labs phát hành, sử dụng chiến lược delta-neutral hedge, dựa trên ETH và BTC làm nền tảng hỗ trợ. Việc mất peg lần này không phải do thiếu tài sản thế chấp, mà do hacker lợi dụng lỗ hổng đúc để tạo ra lượng lớn mã không có tài sản thế chấp rồi bán tháo tập trung, khiến pool thanh khoản chính sụp đổ ngay lập tức.
Lỗ hổng kỹ thuật chính của vụ tấn công này là gì?
Lỗ hổng nằm ở chỗ tài khoản đặc quyền SERVICE_ROLE do EOA kiểm soát, hợp đồng đúc thiếu kiểm tra giá oracle, giới hạn số lượng và hạn mức đúc token. Điều này cho phép hacker chỉ với khoảng 200.000 USD USDC, có thể đúc ra lượng USR gấp 500 lần bình thường.
Người nắm giữ USR sẽ đối mặt với rủi ro thiệt hại thực tế nào?
Hacker bán tháo lượng USR không có tài sản thế chấp, phá hỏng tính thanh khoản ngay lập tức. Người dùng nắm giữ USR trong thời gian tấn công phải chịu thiệt hại về giá trị thị trường tức thì. Ngoài ra, wstUSR còn được dùng làm tài sản thế chấp trong nhiều nền tảng vay DeFi, và hiệu ứng mất peg này còn ảnh hưởng đến cấu trúc thanh khoản của các kho chứa liên quan.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
