Stablecoin USR của Resolv mất peg sau khi hacker tạo ra 80 triệu token không được đảm bảo và đánh cắp 25 triệu ETH

Trong thị trường tiền điện tử, các stablecoin được xem là "cây cầu" kết nối tài chính truyền thống với thế giới Web3, nơi tính ổn định và an toàn là vô cùng quan trọng. Tuy nhiên, vụ tấn công gần đây vào stablecoin USR của Resolv đã một lần nữa cảnh báo về an ninh trong DeFi. Vào ngày 22 tháng 3 năm 2025, kẻ tấn công đã khai thác lỗ hổng trong hợp đồng đúc USR của Resolv để tạo ra khoảng 80 triệu token không được đảm bảo và đánh cắp khoảng 25 triệu USD ETH. Sự kiện này khiến USR lao dốc xuống mức 0,025 USD trên Curve, sau đó giá phục hồi lên khoảng 0,85 USD, nhưng mối liên kết với đô la Mỹ vẫn chưa được khôi phục. Cuộc tấn công không chỉ khiến stablecoin USR tách rời khỏi sự neo giá vàng, mà còn phơi bày những điểm yếu tiềm ẩn trong các giao thức DeFi phức tạp, cũng như rủi ro lớn mà các stablecoin mang lại lợi suất cao có thể gây ra trong bối cảnh thiếu vắng quy định.

Theo nhiều công ty an ninh blockchain, vào Chủ nhật, một kẻ tấn công đã khai thác lỗ hổng trong hợp đồng đúc stablecoin USR của Resolv để tạo ra khoảng 80 triệu token không được đảm bảo và đánh cắp khoảng 25 triệu USD.

Phương thức tấn công: Cuộc tấn công bắt đầu vào khoảng 2:21 giờ UTC. Tài khoản X trên Twitter, YieldsAndMore, là người đầu tiên phát hiện sự kiện này và đăng dữ liệu giao dịch trên Etherscan, cho thấy kẻ tấn công đã gửi 100.000 USDC vào hợp đồng USR Counter của Resolv và nhận về 50 triệu USR, tương đương khoảng 500 lần số lượng dự kiến. Sau đó, kẻ tấn công tiếp tục đúc thêm 30 triệu USR thông qua giao dịch thứ hai.

USR bị tách khỏi mức neo: USR là một loại stablecoin được neo với đô la Mỹ, sử dụng chiến lược phòng ngừa delta trung tính và được hỗ trợ bởi ETH và BTC thay vì dự trữ tiền pháp định. Theo dữ liệu từ DEX Screener, sau khi được đúc lần đầu, đồng tiền này đã giảm xuống còn 0,025 USD trong vòng 17 phút tại pool thanh khoản mạnh nhất của Curve Finance. Sau đó, giá đã phục hồi lên khoảng 0,85 USD, nhưng tính đến chủ nhật morning, mức neo với đô la Mỹ vẫn chưa được khôi phục.

Tài sản bị đánh cắp: Kẻ tấn công đã sử dụng một địa chỉ bắt đầu bằng 0x04A2 để chuyển đổi USR được đúc thành USDC và USDT trên sàn giao dịch phi tập trung, sau đó chuyển đổi số tiền nhận được thành ETH. Dựa trên dữ liệu blockchain, tính đến thời điểm bài viết, ví của kẻ tấn công đang giữ 11.409 ETH, tương đương khoảng 23,7 triệu USD. Một ví khác được xác định là thuộc về kẻ tấn công đang giữ các token wstUSR trị giá khoảng 1,1 triệu USD.

Phản hồi từ Resolv Labs: Trong tuyên bố về X, Resolv Labs cho biết đã tạm dừng tất cả các chức năng giao thức, và hồ sơ thế chấp của họ “hoàn toàn nguyên vẹn”, “không có tổn thất tài sản cơ sở”. Nhóm này cho rằng vấn đề này “chỉ giới hạn ở cơ chế phát hành USR”.

Các chuyên gia phân tích phát hiện rằng lỗ hổng này xuất phát từ vai trò in ấn đặc quyền được kiểm soát bởi tài khoản bên ngoài, không có giới hạn in ấn hoặc kiểm tra oracle.

Kiểm soát truy cập yếu: Nhà phân tích chuỗi Andrew Hong cho rằng lỗ hổng bảo mật này xuất phát từ vai trò SERVICE_ROLE của giao thức, một tài khoản đặc quyền dùng để thực hiện các yêu cầu đổi. Vai trò này được kiểm soát bởi một tài khoản bên ngoài tiêu chuẩn (EOA), thay vì tài khoản đa chữ ký. Ngoài ra, hợp đồng đúc tiền thiếu kiểm tra oracle, xác minh số lượng và giới hạn đúc tối đa.

Thiếu kiểm toán và giám sát: Quỹ DeFi D2 Finance liệt kê ba khả năng có thể xảy ra: oracle bị thao túng, người ký ngoài chuỗi bị xâm nhập, hoặc thiếu xác minh số tiền giữa yêu cầu đúc tiền và hoàn thành. YieldsAndMore cũng đồng ý với phân tích này và chỉ ra rằng cơ chế quản lý của giao thức Resolv thiếu các biện pháp bảo mật tương xứng với quy mô của nó. “Chỉ dựa vào kiểm toán là không đủ; nếu bạn không giám sát thời gian thực việc đúc tiền và lượng cung, bạn sẽ hoàn toàn mù mờ vào thời điểm quan trọng nhất,” CEO của Cyvers, Deddy Lavid, nói với The Block.

Mặc dù Resolv tuyên bố rằng hồ sơ thế chấp của họ “hoàn toàn nguyên vẹn” là đúng về mặt kỹ thuật, nhưng tuyên bố này đã làm nhẹ đi mức tổn thất.

Sự phình to nguồn cung: Như các nhà phân tích chuỗi đã chỉ ra, cuộc tấn công này có hình thức phình to nguồn cung, chứ không phải đánh cắp trực tiếp tài sản thế chấp. 80 triệu token mới được tạo ra đã làm loãng nguồn cung hiện có, và hành động bán tháo của kẻ tấn công đã hoàn toàn phá hủy thanh khoản của pool thế chấp. Bất kỳ ai sở hữu USR vào thời điểm đó đều lập tức chịu tổn thất.

Ảnh hưởng đến thị trường cho vay DeFi: Hiệu ứng mất liên kết cũng lan rộng sang thị trường cho vay DeFi. USR và các sản phẩm phái sinh thế chấp wstUSR được các nền tảng như Morpho và Gauntlet chấp nhận làm tài sản đảm bảo. Một số nhà giao dịch đầu cơ có thể đã mua USR với giá chiết khấu và vay USDC với định giá cố định 1 USD, từ đó làm cạn kiệt thanh khoản stablecoin trong các quỹ này. D2 Finance cho biết, các quỹ do Gauntlet quản lý trên nền tảng Morpho cũng bị ảnh hưởng.

Các cổ phần cấp hai và hiệu ứng dây chuyền: Tổn thất có thể còn lan rộng đến các cổ phần cấp hai của Resolv. Quỹ thanh khoản Resolv (RLP), hoạt động như một cơ chế bảo hiểm, hấp thụ tổn thất để bảo vệ người nắm giữ USR, với lượng tiền lưu thông khoảng 38,6 triệu USD tại mức giá trước khi khai thác lỗ hổng. Theo YieldsAndMore, Stream đang giữ vị thế RLP trị giá 13,6 triệu cổ phần, với rủi ro ròng khoảng 17 triệu USD, điều này có nghĩa là các chủ gửi tiền của họ có thể đối mặt với một tổn thất lớn khác.

Giá trị thị trường giảm mạnh: Theo dữ liệu từ CoinMarketCap, giá trị thị trường của USR đã giảm từ khoảng 400 triệu USD vào đầu tháng 2 xuống còn khoảng 100 triệu USD trước cuộc tấn công. Do ảnh hưởng của cuộc tấn công này, giá của token quản trị RESOLV đã giảm khoảng 8,5% trong vòng 24 giờ qua.

Bốn, Bối cảnh của Resolv và tính phổ biến của các cuộc tấn công hacker trong DeFi

Resolv đã hoàn thành vòng gọi vốn hạt giống 10 triệu USD vào tháng 4 năm 2025, do Cyber.Fund và Maven11 dẫn đầu, với sự tham gia của Coinbase Ventures, Arrington Capital và Animoca Ventures, và được Delphi Labs ươm tạo.

Kiểm toán và chương trình phần thưởng lỗ hổng: Trang web của Resolv tuyên bố đã hoàn thành 14 cuộc kiểm toán cho năm công ty, đồng thời thiết lập chương trình phần thưởng lỗ hổng Immunefi trị giá 500.000 USD và cung cấp dịch vụ giám sát hợp đồng thông minh liên tục.

Xu hướng tấn công hacker DeFi: Sự kiện khai thác lỗ hổng này tiếp tục làm tăng số lượng các cuộc tấn công hacker DeFi trong năm 2026. Sự kiện Resolv là vụ mới nhất trong chuỗi các cuộc tấn công tiền mã hóa vào đầu năm 2026. Vào tháng Một năm nay, Truebit đã mất 26,6 triệu USD do kẻ tấn công khai thác lỗ hổng trong hợp đồng thông minh được triển khai cách đây năm năm. Cùng tháng đó, hồ sơ stablecoin của Makina Finance cũng bị mất khoảng 5 triệu USD do kẻ tấn công thao túng oracle giao thức thông qua闪电贷. Một báo cáo do Immunefi công bố tuần trước cho thấy, mức tổn thất trung bình của các cuộc tấn công hacker tiền mã hóa hiện nay vào khoảng 25 triệu USD, và năm sự kiện tấn công gây tổn thất lớn nhất trong giai đoạn 2024-2025 chiếm 62% tổng số tiền bị đánh cắp.

Từ góc độ chính sách, thời điểm này cũng khá đáng chú ý, vì các nhà lập pháp Mỹ đang tích cực thảo luận về cách quản lý các đồng tiền ổn định sinh lời theo Đạo luật GENIUS.

Rủi ro thất thoát tiền gửi ngân hàng: Hiệp hội Ngân hàng Hoa Kỳ cảnh báo rằng các sản phẩm này có thể khiến tiền gửi chuyển ra khỏi các ngân hàng truyền thống.

Sự đồng thuận về quản lý: Vài thượng nghị sĩ then chốt đã đạt được "thỏa thuận nguyên tắc" về cách xử lý lợi nhuận từ stablecoin vào thứ Sáu tuần trước.

Kết luận:

Stablecoin USR của Resolv đã mất liên kết với vàng sau khi kẻ tấn công đúc 80 triệu token không được đảm bảo và đánh cắp khoảng 25 triệu USD, một lần nữa cảnh báo về an toàn trong DeFi. Sự kiện này không chỉ phơi bày các lỗ hổng tiềm ẩn trong thiết kế hợp đồng phức tạp, kiểm soát truy cập và kiểm toán của các stablecoin mang lợi suất cao, mà còn đặt ra thách thức nghiêm trọng đối với cơ chế tin cậy của toàn bộ hệ sinh thái DeFi.