Dalam pasaran kripto, mata wang stabil dianggap sebagai "jambatan" yang menghubungkan keuangan tradisional dengan dunia Web3, di mana kestabilan dan keselamatanannya sangat penting. Namun, serangan baru-baru ini terhadap mata wang stabil USR Resolv semula mengingatkan kita akan kepentingan keselamatan DeFi. Pada 22 Mac 2025, penyerang memanfaatkan kelemahan dalam kontrak penciptaan USR Resolv untuk mencetak sebanyak 80 juta token tanpa jaminan dan mencuri kira-kira $25 juta ETH. Peristiwa ini menyebabkan harga USR jatuh tajam kepada $0.025 di pasaran Curve, sebelum pulih sedikit kepada sekitar $0.85, tetapi ikatannya dengan dolar belum dipulihkan. Serangan ini tidak hanya melepaskan USR daripada pegangan emasnya, tetapi juga mengungkap kerentanan berpotensi dalam protokol DeFi yang kompleks, serta risiko besar yang mungkin timbul daripada mata wang stabil berpendapatan tinggi di bawah kekosongan peraturan.
Satu: Stabilcoin USR Resolv terlepas daripada pegangan: Penyerang mencetak 80 juta token tanpa jaminan, mencuri 25 juta dolar AS ETH
Menurut beberapa syarikat keselamatan blockchain, pada hari Ahad, seorang penyerang memanfaatkan lubang dalam kontrak penciptaan token stabil USR Resolv, menghasilkan sebanyak 80 juta token tanpa jaminan dan mencuri kira-kira $25 juta.
Teknik serangan: Serangan bermula sekitar pukul 02:21 Waktu Berterusan Dunia. Akaun X YieldsAndMore pertama kali mengesan peristiwa ini dan menerbitkan data transaksi Etherscan, yang menunjukkan penyerang membuat setoran 100,000 USDC ke kontrak USR Counter Resolv dan menerima 50 juta USR sebagai balasan, kira-kira 500 kali ganda jumlah yang dijangka. Selepas itu, penyerang juga mencetak tambahan 30 juta USR melalui transaksi kedua.
USR terlepas daripada pegangan: USR ialah stablecoin yang diikat kepada dolar, menggunakan strategi lindung nilai delta-neutral, dan disokong oleh ETH dan BTC, bukan simpanan mata wang fiat. Menurut data DEX Screener, token ini jatuh ke $0.025 dalam 17 minit selepas penciptaan pertamanya di kolam likuiditi paling cekapnya, Curve Finance. Harga kemudian pulih kepada sekitar $0.85, tetapi sehingga Ahad pagi, pegangannya terhadap dolar belum dipulihkan.
Aset yang dicuri: Penyerang menggunakan alamat yang bermula dengan 0x04A2 untuk menukar USR yang dicetak menjadi USDC dan USDT di pertukaran terdesentralisasi, kemudian menukar hasilnya menjadi ETH. Berdasarkan data blockchain, sehingga artikel ini ditulis, alamat dompet penyerang memegang 11,409 ETH, bernilai sekitar $23.7 juta. Satu lagi alamat dompet yang telah dikenal pasti milik penyerang memegang wstUSR bernilai sekitar $1.1 juta.
Tanggapan Resolv Labs: Resolv Labs, dalam pernyataan mereka mengenai X, menyatakan bahawa semua fungsi protokol telah dihentikan, dan kolam jaminan mereka "utuh sepenuhnya" dan "tidak mengalami kerugian aset asas". Pasukan tersebut menyatakan bahawa masalah tersebut "terhad kepada mekanisme penerbitan USR".
Dua: Analisis Punca Lohong: Peranan Pencetakan Hak Eksklusif dan Kawalan Akses yang Lemah
Analisis mendapati bahawa kelemahan tersebut berasal daripada peranan pencetakan istimewa yang dikendalikan oleh akaun pihak ketiga, yang tidak mempunyai had pencetakan atau pemeriksaan oracle.
Kawalan akses lemah: Analis rantai Andrew Hong mengaitkan lubang keselamatan ini dengan peranan SERVICE_ROLE protokol, yang merupakan akaun istimewa yang digunakan untuk menyelesaikan permintaan pertukaran. Peranan ini dikendalikan oleh akaun luar biasa (EOA) biasa, bukan akaun tanda tangan berganda. Selain itu, kon pencetakan tidak mempunyai pemeriksaan oracle, pengesahan kuantiti, atau had pencetakan maksimum.
Pengauditan dan pemantauan tidak mencukupi: Dana DeFi D2 Finance mencadangkan tiga penjelasan yang mungkin: oracle telah dimanipulasi, penandatangan luar rantai telah diserang, atau pengesahan jumlah antara permintaan pencetakan dan penyelesaian hilang. YieldsAndMore juga bersetuju dengan analisis ini dan menunjukkan bahawa mekanisme pengurusan protokol Resolv tidak mempunyai jaminan keselamatan yang sepadan dengan skalanya. “Hanya bergantung pada pengauditan tidak cukup; jika anda tidak memantau pencetakan dan jumlah edaran secara masa nyata, anda akan buta pada masa paling kritikal,” kata Ketua Eksekutif Cyvers, Deddy Lavid kepada The Block.
Tiga: Pemegang USR menghadapi kerugian besar: inflasi penawaran dan kekurangan likuiditi
Walaupun pernyataan Resolv bahawa kolat jaminannya "sepenuhnya utuh" secara teknis adalah betul, pernyataan ini meremehkan kerugian.
Pembengkakan penawaran: Seperti yang dinyatakan oleh analis rantai, serangan ini mengambil bentuk pembengkakan penawaran, bukan pencurian langsung terhadap aset jaminan. 80 juta token tambahan melemahkan penawaran yang ada, dan penjualan oleh penyerang sepenuhnya menghancurkan likuiditi kolam jaminan. Setiap pemegang USR pada masa itu mengalami kerugian secara serta-merta.
Mempengaruhi pasaran pinjaman DeFi: Efek pelepasan pegangan juga mempengaruhi pasaran pinjaman DeFi. USR dan derivatif jaminannya, wstUSR, diterima sebagai jaminan oleh platform seperti Morpho dan Gauntlet. Beberapa spekulan mungkin membeli USR dengan harga diskaun dan meminjam USDC dengan penilaian tetap sebanyak 1 dolar, sehingga menguras likuiditi stabelcoin dalam rekening-rekening tersebut. D2 Finance menunjukkan bahawa rekening yang dikelola oleh Gauntlet di platform Morpho juga terjejas.
Sekunder dan rantai reaksi: Kerugian mungkin juga menjejaskan saham sekunder Resolv. Kolam likuiditi Resolv (RLP), yang berfungsi sebagai mekanisme insurans, menyerap kerugian untuk melindungi pemegang USR, dengan dana beredar sekitar $38.6 juta pada harga sebelum eksploitasi lubang keamanan. Menurut laporan YieldsAndMore, Stream memegang posisi RLP sebanyak 13.6 juta saham di Morpho, dengan eksposur bersih sekitar $17 juta, bermakna penyimpannya mungkin menghadapi kerugian besar lagi.
Nilai pasaran menurun tajam: Menurut data CoinMarketCap, nilai pasaran USR telah jatuh dari sekitar $400 juta pada awal Februari kepada sekitar $100 juta sebelum serangan. Disebabkan serangan ini, harga token tata kelola RESOLV telah turun sekitar 8.5% dalam 24 jam terakhir.
Empat, Latar belakang Resolv dan kekerapan serangan hacker DeFi
Resolv menyelesaikan pembiayaan biji sebanyak $10 juta pada April 2025, dipimpin oleh Cyber.Fund dan Maven11, dengan penyertaan Coinbase Ventures, Arrington Capital dan Animoca Ventures, serta diinkubasi oleh Delphi Labs.
Pengauditan dan Program Hadiah Kekerapan: Laman web Resolv menyatakan bahawa ia telah menyelesaikan 14 pengauditan untuk lima syarikat, serta menubuhkan program hadiah kekerapan Immunefi sebanyak USD500,000, bersama dengan perkhidmatan pemantauan kontrak pintar yang berterusan.
Tren serangan Defi: Insiden eksploitasi ini semakin meningkatkan jumlah serangan Defi pada tahun 2026. Insiden Resolv adalah yang terbaru dalam siri serangan kripto pada awal 2026. Pada Januari tahun ini, Truebit mengalami kerugian sebanyak $26.6 juta akibat penyerang memanfaatkan kelemahan dalam kontrak pintar yang diperkenalkan lima tahun lalu. Pada bulan yang sama, kolam mata wang stabil Makina Finance juga mengalami kerugian sekitar $5 juta akibat penyerang memanipulasi orak protokol melalui pinjaman kilat. Laporan yang dikeluarkan oleh Immunefi minggu lalu menunjukkan bahawa kerugian purata serangan kripto kini berada pada kira-kira $25 juta, dan lima serangan dengan kerugian tertinggi antara 2024-2025 menyumbang 62% daripada semua dana yang dicuri.
V. Masa Kepentingan Dasar dan Pengawasan: Risiko Stabilcoin Berpendapatan
Dari sudut pandang politik, masa ini juga cukup menarik, kerana ahli-ahli undang-undang Amerika sedang membincangkan secara aktif bagaimana mengawal selia koin stabil yang menghasilkan pendapatan berdasarkan Akta GENIUS.
Risiko kehilangan simpanan perbankan: Asosiasi Banker Amerika memperingatkan bahawa produk semacam ini mungkin akan mengalihkan simpanan dari bank tradisional.
Konsensus pengawasan: Beberapa senator utama telah mencapai "perjanjian prinsip" mengenai cara mengendalikan keuntungan stablecoin pada hari Jumaat lepas.
Penutup:
Stablecoin USR Resolv terlepas daripada jangkaan emas selepas penyerang mencetak 80 juta token tanpa jaminan dan mencuri kira-kira $25 juta, sekali lagi mengingatkan akan keselamatan DeFi. Insiden ini tidak hanya mengungkap kelemahan yang mungkin wujud dalam stablecoin berpendapatan tinggi berkaitan dengan reka bentuk kontrak kompleks, kawalan akses, dan audit, tetapi juga menimbulkan cabaran serius terhadap mekanisme kepercayaan keseluruhan ekosistem DeFi.