Sa cryptocurrency market, ang stablecoin ay itinuturing na “sambungan” sa pagitan ng tradisyonal na pagsasapalaran at mundo ng Web3, kung saan ang kanilang katatagan at kaligtasan ay mahalaga. Gayunpaman, ang isang kamakailang pag-atake sa USR stablecoin ng Resolv ay muli ay nagbigay babala tungkol sa kaligtasan ng DeFi. Noong Marso 22, 2025, gumamit ang mga attacker ng isang butas sa minting contract ng Resolv upang magsagawa ng higit sa 80 milyong walang suportang token at makuha ang halos $25 milyon na ETH. Ang pangyayaring ito ay nagdulot ng pagbaba ng USR sa Curve Exchange hanggang sa $0.025, at pagkatapos ay tumaas muli sa halos $0.85, ngunit ang kanilang peg sa dolyar ay hindi pa nabawi. Ang pag-atake na ito ay hindi lamang nagpabaya sa pagsasakatuparan ng USR sa ginto, kundi ipinakita rin ang potensyal na kahinaan ng mga komplikadong DeFi protocol, at ang malaking panganib na dulot ng mga stablecoin na nag-aalok ng mataas na kita sa ilalim ng walang regulasyon.
I. Ang USR stablecoin ng Resolv ay nagsira: ang attacker ay nag-craft ng 80 milyong walang suportang token at nagnakaw ng $25 milyon na ETH
Ayon sa mga ahensya ng seguridad sa blockchain, noong Linggo, isang attacker ay nagpamalas ng isang vulnerability sa minting contract ng USR stablecoin ng Resolv upang lumikha ng humigit-kumulang 80 milyong walang suportang token at makuha ang humigit-kumulang $25 milyon.
Pamamaraan ng pag-atake: Nagsimula ang pag-atake sa paligid ng 2:21 AM UTC. Ang X account na YieldsAndMore ang unang narekord ng insidente at nag-post ng transaction data mula sa Etherscan, na nagpapakita na ang attacker ay nag-deposito ng 100,000 USDC sa USR Counter contract ni Resolv at natanggap ng 50 milyong USR bilang kapalit, na humigit-kumulang 500 beses ang inaasahang dami. Pagkatapos, ang attacker ay nag-mint pa ng karagdagang 30 milyong USR sa pamamagitan ng pangalawang transaksyon.
USR ay bumagsak nang malaki: Ang USR ay isang stablecoin na nakakabit sa dolyar, na may delta-neutral hedging strategy at suportado ng ETH at BTC, hindi ng fiat reserves. Ayon sa DEX Screener, bumaba ang token sa $0.025 sa loob ng 17 minuto pagkatapos ng unang paggawa sa kanyang pinakamalakas na liquidity pool sa Curve Finance. Pagkatapos ay bumalik ang presyo sa paligid ng $0.85, ngunit hanggang sa Linggo ng umaga, ang kanyang pagkakabit sa dolyar ay hindi pa nabawi.
Mga apektadong ari-arian: Gumamit ang attacker ng isang address na nagsisimula sa 0x04A2 upang palitan ang minted na USR sa isang decentralized exchange para sa USDC at USDT, at pagkatapos ay palitan ang mga napagkakakitaan para sa ETH. Ayon sa blockchain data, hanggang sa pagkakasulat nito, ang wallet address ng attacker ay may 11,409 ETH, na may halagang humigit-kumulang $23.7 milyon. Ang isang iba pang wallet address na idiniskubre bilang ari-arian ng attacker ay may halagang humigit-kumulang $1.1 milyon sa wstUSR tokens.
Sagot ni Resolv Labs: Sa pahayag nito tungkol sa X, sinabi ng Resolv Labs na isinara na ang lahat ng mga pag-andar ng protokolo, at ang kanilang pool ng collateral ay "buo at walang pinsala," at "walang pagkawala ng mga pangunahing asset." Sinabi ng team na ang problema ay "limitado lamang sa mekanismo ng paglabas ng USR."
Pangalawa: Pagsusuri sa dahilan ng vulnerability: Pribilehiyong minting role at mahinang pagkontrol sa pag-access
Nakita ng mga analista na ang kakulangan ay nagmula sa isang privilehiyadong minting role na kinokontrol ng mga eksternal na account, na walang limitasyon sa minting o pag-check ng oracle.
Mahina ang kontrol sa pag-access: Ang chain analyst na si Andrew Hong ay isinisisi ang security breach sa SERVICE_ROLE role ng protokolo, isang privileged account na ginagamit para sa pagkumpleto ng mga request sa pagpalit. Kinokontrol ng isang karaniwang external account (EOA) ang role na ito, hindi ang multi-signature account. Bukod dito, kulang sa oracle check, verification ng dami, at maximum mint limit ang minting contract.
Kakulangan sa pagsusuri at pagmamasid: Ang DeFi fund na D2 Finance ay listahan ang tatlong posibleng paliwanag: ang oracle ay na-manipula, ang off-chain signers ay na-hack, o ang pagpapatunay sa halaga sa pagitan ng minting request at pagkumpleto ay nawawala. Sumasang-ayon din ang YieldsAndMore sa analisys na ito at nagtuturo na ang pamamahala ng protokolo ng Resolv ay walang sapat na seguridad na tumutugon sa kanyang sukat. “Hindi sapat ang pagpapasa lamang sa pagsusuri kung hindi mo pinagmamasdan ang minting at supply sa real-time—sa pinakamahalagang sandali, ikaw ay parang bulag,” sabi ni Deddy Lavid, CEO ng Cyvers sa The Block.
Tatlo: Ang mga tagapag-angkat ng USR ay nakakaranas ng malaking pagkawala: Pagpapalawig ng suplay at pagkawala ng likuididad
Kahit na tama sa teknikal na aspeto ang pahayag ng Resolv na ang kanilang pool ng collateral ay “buong-buo pa rin,” ang pahayag na ito ay nagpapaliit sa mga pagkawala.
Supply inflation: Tulad ng natukoy ng on-chain analyst, ang pag-atake ay nangyari sa anyo ng supply inflation, hindi sa direkta na pagkukunan ng collateral assets. Ang pagdaragdag ng 80 milyong token ay nagdilat ng umiiral na supply, at ang pagbebenta ng attacker ay lubos na pinagbawasan ang likuididad ng collateral pool. Ang sinumang may-ari ng USR noong panahong iyon ay agad na nagdusa ng pagkawala.
Nakaaapekto sa DeFi lending market: Ang efekto ng de-pegging ay nakaapekto rin sa DeFi lending market. Ang USR at ang kanyang staking derivative, wstUSR, ay tinanggap bilang collateral ng mga platform tulad ng Morpho at Gauntlet. Maaaring bumili ng USR sa discount ang ilang speculative traders at mag-borrow ng USDC gamit ang fixed valuation na $1, na nagresulta sa pagbaba ng liquidity ng stablecoin sa mga kuwarta. Tiniyak ng D2 Finance na ang mga kuwarta na pinamamahalaan ng Gauntlet sa platform ng Morpho ay nakaapekto rin.
Secondary tranches at risk of ripple effects: Losses may also affect Resolv’s secondary tranches. The Resolv Liquidity Pool (RLP), serving as an insurance layer to absorb losses and protect USR holders, had approximately $38.6 million in circulating funds at pre-exploit prices. According to YieldsAndMore, Stream holds a 13.6 million RLP position in Morpho, with a net exposure of about $17 million, meaning its depositors could face another significant loss.
Bumaba nang malaki ang market cap: Ayon sa CoinMarketCap, bumaba ang market cap ng USR mula sa halos $400 milyon noong pebrero sa halos $100 milyon bago ang pag-atake. Dahil sa pag-atake na ito, bumaba ang presyo ng RESOLV governance token ng halos 8.5% sa nakalipas na 24 oras.
IV. Ang background ng Resolv at ang karaniwang pagkakaroon ng mga hacker sa DeFi
Nakumpleto ni Resolv ang kanilang $10M seed funding noong Abril 2025, na pinamunuan ng Cyber.Fund at Maven11, kasama ang Coinbase Ventures, Arrington Capital, at Animoca Ventures bilang mga investor, at na孵化 ng Delphi Labs.
Audit at Vulnerability Bounty: Sinasabi ng website ng Resolv na natapos na nito ang 14 na audit project para sa limang kumpanya, at itinatag ang $500,000 na Immunefi vulnerability bounty program, kasama ang patuloy na serbisyo ng smart contract monitoring.
Mga trend sa pag-atake sa DeFi: Ipinagpatuloy ng pangyayaring ito ang pagtaas sa bilang ng mga pag-atake sa DeFi noong 2026. Ang Resolv incident ay ang pinakabagong kaso sa isang serye ng mga pag-atake sa cryptocurrency noong unang bahagi ng 2026. Noong Enero, nawalan ng $26.6 milyon ang Truebit dahil sa pagpapabaya ng isang smart contract na inilalabas limang taon na ang nakalipas. Sa parehong buwan, ang stablecoin pool ng Makina Finance ay nawalan ng halos $5 milyon dahil sa paggamit ng flash loan upang manipulahin ang oracle ng protocol. Ayon sa isang ulat na inilabas ng Immunefi noong nakaraang linggo, ang average na pagkawala sa mga pag-atake sa cryptocurrency ay nasa paligid ng $25 milyon, at ang limang pinakamalaking pag-atake noong 2024-2025 ay nagsisilbi sa 62% ng lahat ng natayong pondo.
Limang: Panahon ng patakaran at regulasyon: Ang panganib ng yield-bearing stablecoin
Mula sa pananaw ng patakaran, ang panahon ay pati na rin nangangahulugan, dahil ang mga tagapagbatas ng Estados Unidos ay aktibong nag-uusap kung paano regulahin ang mga yield-bearing stablecoin ayon sa BATAS NA GENIUS.
Panganib ng pagkawala ng mga deposito: Bineda ng American Bankers Association na maaaring magdulot ng paglipat ng mga deposito mula sa tradisyonal na mga bangko.
Regulatory consensus: Nagsagawa ng “principle agreement” ang ilang mahahalagang senador tungkol sa pagtrato sa kita ng stablecoin noong nakaraang Biyernes.
Wakas:
Ang USR stablecoin ng Resolv ay nawala sa kanyang pagkakabond sa ginto pagkatapos ng isang pag-atake kung saan ang isang attacker ay nag-cast ng 80 milyong walang suportang token at nakuha ang halos $25 milyon, na muli ay nagpapahalina sa警钟 para sa seguridad ng DeFi. Ang insidente ay hindi lamang nagpapakita ng posibleng mga butas sa mataas na kita na stablecoin sa kompleks na disenyo ng contract, kontrol ng pag-access, at pagsusuri, kundi pati na rin ay nagtataguyod ng malaking hamon sa mekanismo ng tiwala sa buong ekosistema ng DeFi.