Resolv bị khai thác khiến USR mất neo sau khi in 80 triệu USD không thế chấp

Resolv đã tạm dừng giao thức sau sự cố lộ private key, khiến kẻ tấn công mint khoảng 80 triệu USD USR không có tài sản bảo chứng và làm stablecoin này mất neo mạnh.

Sự cố không theo mô-típ “rút cạn quỹ” thường thấy trong DeFi, mà là “phình cung” làm pha loãng bảo chứng. Resolv cho biết đã pause smart contract, đốt khoảng 9 triệu USR do kẻ tấn công nắm giữ và đang chuẩn bị các bước khôi phục, bao gồm mở lại đổi trả theo danh sách cho phép.

Khai thác làm phình cung USR thay vì rút tiền khỏi kho tài sản

Sự cố Resolv chủ yếu làm tăng nguồn cung USR không có bảo chứng, khiến tỷ lệ giữa tổng cung và tài sản thế chấp bị phá vỡ, thay vì trực tiếp đánh cắp tài sản trong kho.

Resolv cho biết một tác nhân độc hại đã mint khoảng 80 triệu USD USR không có tài sản bảo chứng, gây lo ngại về tính toàn vẹn của stablecoin và kích hoạt depeg. Trước sự cố, có khoảng 102 triệu USR lưu hành; sau đó, thêm khoảng 71 triệu USR được mint mà không có collateral, làm pha loãng mức bảo chứng của hệ thống.

Khi tổng cung tăng vượt xa giá trị tài sản của giao thức, mối quan hệ cung–tài sản bảo chứng bị thay đổi, dẫn đến việc thị trường phải “định giá lại” rủi ro. Resolv nói tài sản bảo chứng nền tảng không bị xâm phạm trực tiếp và tổn thất được xác nhận cho đến nay là khoảng 0,5 triệu USD từ các lệnh đổi trả được xử lý trước khi tạm dừng.

Nhóm Resolv cho biết nguyên nhân đến từ private key bị lộ liên quan quyền truy cập hạ tầng, thay vì lỗi của hệ thống collateral cốt lõi.

Giả định thiết kế trong quy trình mint lộ rõ điểm yếu

Điểm yếu trọng tâm nằm ở quyền hạn mint: một vai trò đặc quyền có thể phê duyệt phát hành token mà không có cơ chế ràng buộc on-chain đủ mạnh để xác thực collateral theo thời gian thực.

Resolv quy kết sự cố là truy cập trái phép vào hạ tầng, nhưng diễn biến cho thấy cấu trúc quyền mint có thể cho phép phát hành token lớn mà thiếu “check” on-chain gắn chặt với tài sản đã nạp. Một khi kẻ tấn công chiếm được quyền, việc mint số lượng lớn USR trở nên khả thi mà không cần chứng minh có collateral tương ứng.

Mô hình này dựa vào kiểm soát off-chain đáng tin cậy để áp hạn mức và quy trình phê duyệt. Khi các kiểm soát đó bị xâm phạm (ví dụ lộ private key), giả định an toàn bị phá vỡ, và rủi ro phình cung có thể lan nhanh hơn so với các cơ chế bị khóa bởi bằng chứng on-chain.

USR mất neo khi niềm tin thị trường suy giảm

Depeg xảy ra nhanh do thị trường phản ứng với việc tổng cung tăng vượt nền tảng bảo chứng, khiến USR bị bán tháo và định giá thấp hơn nhiều so với mục tiêu 1 USD.

Tại thời điểm được đề cập trong nội dung gốc, USR giao dịch quanh 0,19 USD, giảm hơn 56% trong 24 giờ, dựa trên dữ liệu CoinMarketCap. Mức giảm phản ánh việc nhà đầu tư định giá lại token khi nguồn cung mở rộng ngoài cơ sở collateral, làm suy yếu kỳ vọng đổi 1:1.

Hoạt động giao dịch cũng suy yếu đáng kể, với khối lượng giảm khi người dùng rời vị thế hoặc tránh rủi ro trong giai đoạn khắc phục. Trong các sự cố depeg, thanh khoản và niềm tin thường giảm cùng lúc, khiến biến động giá tăng và phục hồi trở nên khó dự đoán hơn.

Resolv triển khai khôi phục và lên kế hoạch mở đổi trả

Resolv đang chuẩn bị bật lại tính năng đổi trả cho người nắm giữ USR trước sự cố, bắt đầu từ nhóm người dùng trong danh sách cho phép, đồng thời phối hợp truy vết token mint trái phép.

Nhóm cho biết smart contract đã được tạm dừng, và khoảng 9 triệu USR do kẻ tấn công nắm giữ đã bị đốt. Resolv cũng nói giao thức hiện nắm khoảng 141 triệu USD tài sản và đang làm việc với đối tác, các công ty phân tích on-chain và cơ quan thực thi pháp luật để truy vết, khoanh vùng lượng USR được mint bất hợp pháp.

Trong giai đoạn phục hồi, người dùng được khuyến cáo không giao dịch USR hoặc các tài sản liên quan. Các giao dịch sau khai thác có thể làm phức tạp việc phân loại “USR trước sự cố” và “USR mint trái phép”, từ đó ảnh hưởng kết quả đổi trả và kế hoạch bình ổn nguồn cung.

Tính toàn vẹn stablecoin bị soi xét do phụ thuộc kiểm soát off-chain

Sự cố cho thấy rủi ro hệ thống khi các biện pháp bảo vệ quan trọng dựa vào kiểm soát off-chain thay vì giới hạn được cưỡng chế trực tiếp bằng quy tắc on-chain.

Dù Resolv khẳng định pool collateral không bị xâm phạm trực tiếp, việc có thể mint token không có bảo chứng đã làm suy giảm niềm tin vào sổ sách và cơ chế kế toán của stablecoin. Thách thức then chốt là cô lập nguồn cung bất hợp pháp, chứng minh lại mức bảo chứng cho phần cung hợp lệ và ổn định kỳ vọng đổi 1:1.

Với stablecoin trong DeFi, khả năng phục hồi thường phụ thuộc vào tính minh bạch của quy trình hậu sự cố, cách phân tách nguồn cung hợp lệ, và việc thắt chặt quyền mint (ví dụ giảm đặc quyền, tăng kiểm chứng on-chain, tăng giám sát đa chữ ký). Diễn biến tiếp theo sẽ quyết định liệu USR có thể khôi phục neo và niềm tin thị trường hay không.

Những câu hỏi thường gặp

Sự cố Resolv là “hack rút tiền” hay “mint tăng cung”?

Đây chủ yếu là sự cố “mint tăng cung”: kẻ tấn công mint lượng lớn USR không có tài sản bảo chứng, làm pha loãng collateral và gây depeg, thay vì trực tiếp rút cạn tài sản trong kho.

Resolv nói tài sản bảo chứng có bị mất không?

Resolv cho biết collateral nền tảng không bị xâm phạm trực tiếp. Tổn thất được xác nhận cho đến thời điểm cập nhật là khoảng 0,5 triệu USD do các lệnh đổi trả được xử lý trước khi giao thức bị tạm dừng.

USR đã giảm về mức nào theo dữ liệu được nhắc đến?

Theo dữ liệu được dẫn, USR giao dịch quanh 0,19 USD và giảm hơn 56% trong 24 giờ tại thời điểm được đề cập.

Resolv đang làm gì để khắc phục?

Resolv đã pause smart contract, đốt khoảng 9 triệu USR do kẻ tấn công nắm giữ, làm việc với đối tác, công ty phân tích và cơ quan thực thi pháp luật để truy vết token mint trái phép, đồng thời chuẩn bị mở đổi trả cho người nắm giữ USR trước sự cố theo danh sách cho phép.