Stablecoin USR ของ Resolv หลุดจากการตรึงค่าหลังจากแฮกเกอร์สร้างโทเค็นที่ไม่มีหลักประกัน 80 ล้านโทเค็น และขโมย ETH มูลค่า 25 ล้านดอลลาร์

ในตลาดสกุลเงินดิจิทัล สกุลเงินคงที่ถือเป็น “สะพาน” เชื่อมระหว่างระบบการเงินแบบดั้งเดิมกับโลกของ Web3 โดยความมั่นคงและความปลอดภัยของมันมีความสำคัญอย่างยิ่ง อย่างไรก็ตาม ล่าสุดมีการโจมตีสกุลเงินคงที่ USR ของ Resolv ซึ่งเป็นการเตือนใจอีกครั้งเกี่ยวกับความปลอดภัยใน DeFi เมื่อวันที่ 22 มีนาคม 2025 ผู้โจมตีใช้ช่องโหว่ในสัญญาการสร้าง USR ของ Resolv เพื่อสร้างเหรียญที่ไม่มีหลักประกันประมาณ 80 ล้านเหรียญ และขโมย ETH มูลค่าประมาณ 25 ล้านดอลลาร์สหรัฐ เหตุการณ์นี้ทำให้ USR ร่วงลงเหลือ 0.025 ดอลลาร์สหรัฐบน Curve Exchange ก่อนที่ราคาจะฟื้นตัวขึ้นมาอยู่ที่ประมาณ 0.85 ดอลลาร์สหรัฐ แต่ยังไม่สามารถกลับมาเชื่อมโยงกับดอลลาร์สหรัฐได้อีกครั้ง การโจมตีครั้งนี้ไม่เพียงแต่ทำให้ USR หลุดพ้นจากการอ้างอิงทองคำ แต่ยังเปิดเผยถึงความเปราะบางที่อาจเกิดขึ้นในโปรโตคอล DeFi ที่ซับซ้อน และความเสี่ยงอันมหาศาลที่สกุลเงินคงที่ที่ให้ผลตอบแทนสูงอาจก่อขึ้นภายใต้ช่องว่างทางการกำกับดูแล

ตามรายงานจากบริษัทด้านความปลอดภัยบล็อกเชนหลายแห่ง เมื่อวันอาทิตย์ที่ผ่านมา ผู้โจมตีได้ใช้ช่องโหว่ในสัญญาการสร้างโทเค็น USR ของ Resolv เพื่อสร้างโทเค็นที่ไม่มีหลักประกันประมาณ 80 ล้านชิ้น และขโมยเงินประมาณ 25 ล้านดอลลาร์สหรัฐ

วิธีการโจมตี: การโจมตีเริ่มขึ้นประมาณ 02:21 น. ตามเวลามาตรฐานสากล บัญชี X YieldsAndMore เป็นผู้ค้นพบเหตุการณ์นี้เป็นคนแรก และเผยแพร่ข้อมูลธุรกรรมบน Etherscan ซึ่งแสดงให้เห็นว่าผู้โจมตีได้ฝาก USDC จำนวน 100,000 เหรียญเข้าสู่สัญญา USR Counter ของ Resolv และได้รับ USR จำนวน 50 ล้านเหรียญเป็นผลตอบแทน ซึ่งเท่ากับประมาณ 500 เท่าของจำนวนที่คาดไว้ ต่อมา ผู้โจมตีได้สร้าง USR เพิ่มอีก 30 ล้านเหรียญผ่านธุรกรรมที่สอง

USR หลุดจากการอ้างอิงและร่วงลงอย่างรุนแรง: USR เป็นสกุลเงินเสถียรที่ผูกกับดอลลาร์สหรัฐ โดยใช้กลยุทธ์การป้องกันความเสี่ยงแบบเดลต้าเป็นศูนย์ และมี ETH และ BTC เป็นหลักประกัน แทนการสำรองสกุลเงิน fiat ตามข้อมูลจาก DEX Screener โทเค็นนี้ร่วงลงเหลือ 0.025 ดอลลาร์ภายใน 17 นาทีหลังจากการสร้างครั้งแรกในสระของ Curve Finance ที่มีสภาพคล่องสูงสุด หลังจากนั้นราคาฟื้นตัวขึ้นมาอยู่ที่ประมาณ 0.85 ดอลลาร์ แต่จนถึงวันอาทิตย์เช้า ยังไม่สามารถฟื้นการผูกกับดอลลาร์ได้

ทรัพย์สินที่ถูกขโมย: ผู้โจมตีใช้ที่อยู่ที่เริ่มต้นด้วย 0x04A2 เพื่อแลกเปลี่ยน USR ที่ถูกสร้างขึ้นเป็น USDC และ USDT บนแพลตฟอร์มแลกเปลี่ยนแบบกระจายศูนย์ จากนั้นแลกเปลี่ยนผลลัพธ์เป็น ETH ตามข้อมูลบล็อกเชน ณ เวลาที่รายงาน ที่อยู่กระเป๋าเงินของผู้โจมตีถือครอง ETH จำนวน 11,409 หน่วย มูลค่าประมาณ 23.7 ล้านดอลลาร์สหรัฐ อีกที่อยู่กระเป๋าเงินหนึ่งที่ยืนยันแล้วว่าเป็นของผู้โจมตีถือครอง wstUSR มูลค่าประมาณ 1.1 ล้านดอลลาร์สหรัฐ

การตอบกลับของ Resolv Labs: Resolv Labs ระบุในแถลงการณ์เกี่ยวกับ X ว่าได้ระงับฟังก์ชันทั้งหมดของโปรโตคอล และสระการจำนำของพวกเขามี “ความสมบูรณ์สมบูรณ์” และ “ไม่มีการสูญเสียสินทรัพย์พื้นฐาน” ทีมงานกล่าวว่าปัญหานี้ “จำกัดอยู่ที่กลไกการออก USR เท่านั้น”

นักวิเคราะห์พบว่าข้อบกพร่องนี้เกิดจากบทบาทการพิมพ์เหรียญที่มีสิทธิ์พิเศษซึ่งถูกควบคุมโดยบัญชีภายนอก โดยบัญชีดังกล่าวไม่มีข้อจำกัดในการพิมพ์เหรียญหรือการตรวจสอบจาก oracle

การควบคุมการเข้าถึงอ่อนแอ: นักวิเคราะห์บนบล็อกเชน Andrew Hong สรุปว่าช่องโหว่ด้านความปลอดภัยครั้งนี้เกิดจากบทบาท SERVICE_ROLE ของโปรโตคอล ซึ่งเป็นบัญชีพิเศษที่ใช้ในการดำเนินการคำขอแลกเปลี่ยน บทบาทนี้ถูกควบคุมโดยบัญชีภายนอกมาตรฐาน (EOA) แทนที่จะเป็นบัญชีหลายลายเซ็น นอกจากนี้ สัญญาการพิมพ์เหรียญยังขาดการตรวจสอบจาก oracle การตรวจสอบปริมาณ และขีดจำกัดสูงสุดในการพิมพ์เหรียญ

การตรวจสอบและการติดตามตรวจสอบไม่เพียงพอ: D2 Finance ซึ่งเป็นกองทุน DeFi ได้ระบุคำอธิบายสามประการที่เป็นไปได้: ตัวทำนายถูกแก้ไข, ผู้ลงนามนอกเครือข่ายถูกบุกรุก, หรือการตรวจสอบจำนวนเงินระหว่างคำขอการพิมพ์เหรียญกับการดำเนินการเสร็จสิ้นหายไป YieldsAndMore ก็เห็นด้วยกับการวิเคราะห์นี้ และชี้ให้เห็นว่ากลไกการจัดการของ Resolv Protocol ขาดการป้องกันความปลอดภัยที่สอดคล้องกับขนาดของมัน “การพึ่งพาการตรวจสอบเพียงอย่างเดียวไม่เพียงพอ หากคุณไม่ติดตามการพิมพ์เหรียญและปริมาณการจัดหาแบบเรียลไทม์ คุณจะเหมือนคนตาบอดในช่วงเวลาที่สำคัญที่สุด” Deddy Lavid ซีอีโอของ Cyvers กล่าวกับ The Block

แม้ว่า Resolv จะระบุว่าสระการจำนำของพวกเขา “สมบูรณ์อย่างสมบูรณ์” ซึ่งถูกต้องตามเทคนิค แต่คำกล่าวดังกล่าวลดทอนความสูญเสีย

การขยายตัวของอุปทาน: เช่นเดียวกับที่นักวิเคราะห์บนโซ่ชี้ให้เห็น การโจมตีครั้งนี้เป็นรูปแบบของการขยายตัวของอุปทาน ไม่ใช่การขโมยสินทรัพย์ที่ใช้เป็นหลักประกันโดยตรง โทเค็นใหม่ 80 ล้านหน่วยที่ถูกสร้างขึ้นได้ทำให้อุปทานที่มีอยู่ลดค่าลง และการขายของผู้โจมตีได้ทำลายสภาพคล่องของสระหลักประกันอย่างสมบูรณ์ ผู้ถือ USR ทุกคนในเวลานั้นต่างประสบกับความสูญเสียทันที

ส่งผลกระทบต่อตลาดกู้ยืม DeFi: ผลกระทบจากการ脱离การอ้างอิงยังแพร่กระจายไปยังตลาดกู้ยืม DeFi ด้วย USR และผลิตภัณฑ์ที่ได้จากการจำนำ wstUSR ถูกแพลตฟอร์มเช่น Morpho และ Gauntlet รับเป็นหลักประกัน ผู้ค้าเก็งกำไรบางส่วนอาจซื้อ USR ในราคาส่วนลด และกู้ยืม USDC ด้วยมูลค่าคงที่ 1 ดอลลาร์สหรัฐ ทำให้สภาพคล่องของสกุลเงินคงที่ในคลังเหล่านี้หมดลง D2 Finance ชี้ให้เห็นว่าคลังที่ Gauntlet จัดการบนแพลตฟอร์ม Morpho ก็ได้รับผลกระทบเช่นกัน

ส่วนรองและผลกระทบแบบลูกโซ่: ความสูญเสียอาจยังส่งผลกระทบต่อส่วนรองของ Resolv คลังสภาพคล่องของ Resolv (RLP) ทำหน้าที่เป็นกลไกป้องกันความเสี่ยง โดยดูดซับความสูญเสียเพื่อปกป้องผู้ถือ USR โดยมีเงินทุนหมุนเวียนประมาณ 38.6 ล้านดอลลาร์สหรัฐในราคาก่อนการโจมตีช่องโหว่ ตามรายงานของ YieldsAndMore Stream มีตำแหน่ง RLP 13.6 ล้านหุ้นใน Morpho โดยมีความเสี่ยงสุทธิประมาณ 17 ล้านดอลลาร์สหรัฐ ซึ่งหมายความว่าผู้ฝากเงินของพวกเขามีโอกาสเผชิญกับความสูญเสียครั้งใหญ่อีกครั้ง

มูลค่าตลาดลดลงอย่างมาก: ตามข้อมูลจาก CoinMarketCap มูลค่าตลาดของ USR ลดลงจากประมาณ 4 พันล้านดอลลาร์สหรัฐในต้นเดือนกุมภาพันธ์ เหลือประมาณ 1 พันล้านดอลลาร์สหรัฐก่อนการโจมตี ภายใต้ผลกระทบจากการโจมตีครั้งนี้ ราคาของโทเค็นการจัดการ RESOLV ลดลงประมาณ 8.5% ในช่วง 24 ชั่วโมงที่ผ่านมา

สี่: ประวัติของ Resolv และความแพร่หลายของการโจมตีแบบแฮกเกอร์ใน DeFi

Resolv ได้รับการระดมทุนแบบ Seed จำนวน 10 ล้านดอลลาร์สหรัฐในเดือนเมษายน 2025 โดย Cyber.Fund และ Maven11 เป็นผู้นำการระดมทุน ร่วมด้วย Coinbase Ventures, Arrington Capital และ Animoca Ventures และได้รับการฟักไข่โดย Delphi Labs

การตรวจสอบและโปรแกรมรางวัลสำหรับช่องโหว่: เว็บไซต์ของ Resolv ระบุว่าได้ดำเนินการตรวจสอบ 14 รายการสำหรับบริษัทห้าแห่ง และได้ตั้งโปรแกรมรางวัลสำหรับช่องโหว่บน Immunefi มูลค่า 500,000 ดอลลาร์สหรัฐ พร้อมให้บริการตรวจสอบสัญญาอัจฉริยะอย่างต่อเนื่อง

แนวโน้มการโจมตีแบบ DeFi: เหตุการณ์การใช้ช่องโหว่ครั้งนี้ยิ่งผลักดันจำนวนการโจมตี DeFi ในปี 2026 ให้สูงขึ้นอีก กรณี Resolv เป็นเหตุการณ์ล่าสุดในชุดการโจมตีสกุลเงินดิจิทัลที่เกิดขึ้นในช่วงต้นปี 2026 เมื่อเดือนมกราคมที่ผ่านมา Truebit สูญเสีย 26.6 ล้านดอลลาร์สหรัฐ จากการที่ผู้โจมตีใช้ช่องโหว่ในสัญญาอัจฉริยะที่ถูกปรับใช้เมื่อห้าปีก่อน ในเดือนเดียวกัน บ่อน้ำเสถียรภาพของ Makina Finance ก็สูญเสียประมาณ 5 ล้านดอลลาร์สหรัฐ จากการที่ผู้โจมตีใช้สินเชื่อฟ้าแลบเพื่อจัดการอุปกรณ์ทำนายของโปรโตคอล รายงานล่าสุดจาก Immunefi เมื่อสัปดาห์ก่อนแสดงว่า ค่าเฉลี่ยการสูญเสียจากการโจมตีสกุลเงินดิจิทัลในปัจจุบันอยู่ที่ประมาณ 25 ล้านดอลลาร์สหรัฐ และเหตุการณ์การโจมตีห้าอันดับแรกที่มีมูลค่าการสูญเสียสูงสุดในช่วงปี 2024-2025 คิดเป็น 62% ของเงินที่ถูกขโมยทั้งหมด

ในมุมมองด้านนโยบาย เวลาลักษณะนี้ก็น่าสนใจเช่นกัน เนื่องจากผู้กำหนดนโยบายของสหรัฐอเมริกากำลังหารืออย่างแข็งขันเกี่ยวกับการกำกับดูแลสกุลเงินเสถียรที่ให้ผลตอบแทนตามกฎหมาย GENIUS

ความเสี่ยงจากการสูญเสียเงินฝากในธนาคาร: สมาคมธนาคารอเมริกันเตือนว่าผลิตภัณฑ์ดังกล่าวอาจทำให้เงินฝากย้ายออกจากธนาคารแบบดั้งเดิม

ข้อตกลงด้านการกำกับดูแล: วุฒิสมาชิกหลักหลายคนได้บรรลุ “ข้อตกลงเชิงหลักการ” เกี่ยวกับวิธีการจัดการกับผลตอบแทนของสกุลเงินคงที่เมื่อวันศุกร์ที่ผ่านมา

ข้อสรุป:

สกุลเงินคงที่ USR ของ Resolv หลุดจากการอ้างอิงทองคำหลังจากผู้โจมตีสร้างเหรียญที่ไม่มีหลักประกัน 80 ล้านหน่วยและขโมยเงินประมาณ 25 ล้านดอลลาร์สหรัฐ ซึ่งเป็นการเตือนอีกครั้งเกี่ยวกับความปลอดภัยของ DeFi เหตุการณ์นี้ไม่เพียงแต่เปิดเผยช่องโหว่ที่อาจมีอยู่ในสกุลเงินคงที่ที่ให้ผลตอบแทนสูงในด้านการออกแบบสัญญาที่ซับซ้อน การควบคุมการเข้าถึง และการตรวจสอบความปลอดภัย แต่ยังท้าทายกลไกความเชื่อมั่นของระบบนิเวศ DeFi อย่างรุนแรง