Di pasar kripto, stablecoin dianggap sebagai "jembatan" yang menghubungkan keuangan tradisional dengan dunia Web3, di mana stabilitas dan keamanannya sangat penting. Namun, serangan baru-baru ini terhadap stablecoin USR dari Resolv kembali mengingatkan akan pentingnya keamanan DeFi. Pada 22 Maret 2025, penyerang memanfaatkan kerentanan dalam kontrak pencetakan USR milik Resolv untuk mencetak sekitar 80 juta token tanpa jaminan dan mencuri sekitar $25 juta ETH. Insiden ini menyebabkan harga USR anjlok hingga $0,025 di Curve, kemudian pulih kembali ke sekitar $0,85, tetapi pegangan terhadap dolar belum pulih. Serangan ini tidak hanya melepaskan USR dari patokan emas, tetapi juga mengungkap kerentanan potensial dalam protokol DeFi yang kompleks, serta risiko besar yang ditimbulkan oleh stablecoin dengan imbal hasil tinggi di tengah kekosongan regulasi.
I. Stabilcoin USR Resolv lepas dari peg: Penyerang mencetak 80 juta token tanpa jaminan, mencuri 25 juta dolar AS ETH
Menurut beberapa perusahaan keamanan blockchain, pada hari Minggu, seorang penyerang memanfaatkan kerentanan dalam kontrak pencetakan stablecoin USR Resolv, menciptakan sekitar 80 juta token tanpa jaminan dan mencuri sekitar $25 juta.
Metode serangan: Serangan dimulai sekitar pukul 02:21 UTC. Akun X YieldsAndMore pertama kali mendeteksi kejadian ini dan mempublikasikan data transaksi Etherscan yang menunjukkan bahwa penyerang menyetorkan 100.000 USDC ke kontrak USR Counter Resolv dan menerima 50 juta USR sebagai imbalannya, sekitar 500 kali jumlah yang diharapkan. Selanjutnya, penyerang secara tambahan mencetak 30 juta USR melalui transaksi kedua.
USR terlepas dari pegangan dan anjlok tajam: USR adalah stablecoin yang diikat ke dolar, menggunakan strategi hedging delta netral, dan didukung oleh ETH dan BTC, bukan cadangan fiat. Menurut data DEX Screener, token ini jatuh ke $0,025 dalam 17 menit setelah penciptaan pertamanya di kolam likuiditas terbesarnya di Curve Finance. Harga kemudian pulih ke sekitar $0,85, tetapi hingga Minggu pagi, pegangan terhadap dolar belum pulih.
Aset yang dicuri: Pelaku menggunakan alamat yang dimulai dengan 0x04A2 untuk menukar USR yang dicetak menjadi USDC dan USDT di pertukaran terdesentralisasi, lalu menukar hasilnya menjadi ETH. Berdasarkan data blockchain, hingga waktu penulisan, alamat dompet pelaku memegang 11.409 ETH, senilai sekitar $23,7 juta. Alamat dompet lain yang dikonfirmasi milik pelaku memegang token wstUSR senilai sekitar $1,1 juta.
Tanggapan Resolv Labs: Resolv Labs dalam pernyataannya tentang X menyatakan bahwa semua fungsi protokol telah dihentikan, dan kolam jaminan mereka "benar-benar utuh" dan "tidak mengalami kerugian aset dasar". Tim tersebut menyebut masalah ini "hanya terbatas pada mekanisme penerbitan USR".
Dua: Analisis Penyebab Kerentanan: Peran Pencetakan Hak Eksklusif dan Kontrol Akses yang Lemah
Analisis menemukan bahwa celah ini berasal dari peran pencetakan istimewa yang dikendalikan oleh akun eksternal, yang tidak memiliki batasan pencetakan atau pemeriksaan oracle.
Kontrol akses lemah: Analis on-chain Andrew Hong menyalahkan kerentanan keamanan ini pada peran SERVICE_ROLE protokol, yaitu akun istimewa yang digunakan untuk menyelesaikan permintaan pertukaran. Peran ini dikendalikan oleh akun eksternal standar (EOA), bukan akun multi-signature. Selain itu, kontrak pencetakan tidak memiliki pemeriksaan oracle, verifikasi jumlah, dan batas maksimum pencetakan.
Audit dan pemantauan tidak memadai: Dana DeFi D2 Finance mencantumkan tiga penjelasan kemungkinan: oracle dimanipulasi, penandatangan off-chain disusupi, atau ketiadaan verifikasi jumlah antara permintaan pencetakan dan penyelesaian. YieldsAndMore juga menyetujui analisis ini dan menunjukkan bahwa mekanisme manajemen protokol Resolv tidak memiliki perlindungan keamanan yang sepadan dengan skalanya. “Hanya mengandalkan audit tidak cukup; jika Anda tidak memantau pencetakan dan pasokan secara real-time, Anda akan buta pada saat paling kritis,” kata CEO Cyvers, Deddy Lavid, kepada The Block.
Tiga: Pemegang USR menghadapi kerugian besar: inflasi pasokan dan kekeringan likuiditas
Meskipun klaim Resolv bahwa kolam jaminannya "benar-benar utuh" secara teknis benar, pernyataan ini meremehkan kerugian.
Inflasi pasokan: Seperti yang ditunjukkan oleh analis on-chain, serangan ini berbentuk inflasi pasokan, bukan pencurian langsung aset jaminan. 80 juta token baru yang ditambahkan melemahkan pasokan yang ada, dan penjualan oleh penyerang benar-benar menghancurkan likuiditas kolam jaminan. Siapa pun yang memegang USR pada saat itu langsung mengalami kerugian.
Dampak ke pasar pinjaman DeFi: Efek dilepaskan dari pegangan juga memengaruhi pasar pinjaman DeFi. USR dan turunan staking-nya, wstUSR, diterima sebagai jaminan oleh platform seperti Morpho dan Gauntlet. Beberapa trader spekulatif mungkin membeli USR dengan diskon dan meminjam USDC dengan valuasi tetap senilai 1 dolar, sehingga menguras likuiditas stablecoin di dalam gudang-gudang tersebut. D2 Finance menunjukkan bahwa gudang yang dikelola oleh Gauntlet di platform Morpho juga terdampak.
Sekunder dan efek berantai: Kerugian juga dapat memengaruhi saham sekunder Resolv. Kolam likuiditas Resolv (RLP), yang berfungsi sebagai mekanisme asuransi tingkat pertama untuk menyerap kerugian demi melindungi pemegang USR, memiliki dana beredar sekitar $38,6 juta pada harga sebelum eksploitasi kerentanan. Menurut YieldsAndMore, Stream memiliki posisi RLP sebesar 13,6 juta saham di Morpho, dengan eksposur bersih sekitar $17 juta, yang berarti deposannya mungkin menghadapi kerugian besar lainnya.
Nilai pasar anjlok tajam: Menurut data CoinMarketCap, nilai pasar USR telah turun dari sekitar $4 miliar pada awal Februari menjadi sekitar $1 miliar sebelum serangan. Akibat serangan ini, harga token tata kelola RESOLV turun sekitar 8,5% dalam 24 jam terakhir.
Empat, Latar Belakang Resolv dan Umumnya Serangan Hacker di DeFi
Resolv menyelesaikan putaran pendanaan benih senilai $10 juta pada April 2025, dipimpin oleh Cyber.Fund dan Maven11, dengan partisipasi dari Coinbase Ventures, Arrington Capital, dan Animoca Ventures, serta diinkubasi oleh Delphi Labs.
Audit dan Bug Bounty: Situs Resolv menyatakan telah menyelesaikan 14 audit untuk lima perusahaan, menetapkan program bug bounty Immunefi senilai $500.000, serta menyediakan layanan pemantauan kontrak cerdas berkelanjutan.
Tren serangan hacker DeFi: Insiden eksploitasi ini semakin meningkatkan jumlah serangan hacker DeFi pada tahun 2026. Insiden Resolv adalah yang terbaru dalam serangkaian serangan kripto pada awal 2026. Pada Januari tahun ini, Truebit kehilangan $26,6 juta akibat penyerang memanfaatkan kerentanan kontrak pintar yang dideploy lima tahun lalu. Pada bulan yang sama, kolam stablecoin Makina Finance juga kehilangan sekitar $5 juta akibat penyerang memanfaatkan flash loan untuk memanipulasi oracle protokol. Laporan yang dirilis Immunefi minggu lalu menunjukkan bahwa kerugian rata-rata serangan kripto saat ini sekitar $25 juta, dan lima serangan dengan kerugian terbesar pada periode 2024-2025 menyumbang 62% dari semua dana yang dicuri.
V. Waktu Kebijakan dan Regulasi: Risiko Stabilcoin Berbasis Imbal Hasil
Dari sudut pandang kebijakan, waktu ini juga cukup menarik, karena para legislator Amerika sedang secara aktif membahas bagaimana mengatur stablecoin berbasis imbal hasil berdasarkan Undang-Undang GENIUS.
Risiko kehilangan simpanan perbankan: Asosiasi Bankir Amerika memperingatkan bahwa produk semacam ini dapat memindahkan simpanan dari bank tradisional.
Konsensus regulasi: Beberapa senator kunci telah mencapai "kesepakatan prinsip" mengenai cara menangani imbal hasil stablecoin pada hari Jumat lalu.
Penutup:
Stablecoin USR dari Resolv melepaskan pegangan emasnya setelah penyerang mencetak 80 juta token tanpa jaminan dan mencuri sekitar $25 juta, kembali mengingatkan akan pentingnya keamanan DeFi. Insiden ini tidak hanya mengungkap potensi kerentanan dalam stablecoin berimbal hasil terkait desain kontrak kompleks, kontrol akses, dan audit, tetapi juga menimbulkan tantangan serius terhadap mekanisme kepercayaan seluruh ekosistem DeFi.