Resolv USR Stablecoin bị tấn công nghiêm trọng
Vào sáng sớm Chủ nhật, một lỗ hổng trong giao thức Resolv đã gây rúng động thị trường DeFi. Nhiều công ty bảo mật blockchain xác nhận kẻ tấn công đã khai thác điểm yếu trong hợp đồng phát hành stablecoin USR, tạo ra khoảng 80 triệu USR không có tài sản bảo chứng và rút khoảng 25 triệu USD khỏi thị trường.
Vụ việc xảy ra lúc 02:21 (UTC), được tài khoản giám sát on-chain YieldsAndMore phát hiện đầu tiên khi ghi nhận các giao dịch bất thường.
Diễn biến vụ tấn công: Nạp nhỏ, xuất token cực lớn
Theo dữ liệu on-chain, kẻ tấn công ban đầu nạp 100.000 USDC vào hợp đồng USR Counter của Resolv. Về nguyên tắc, số USR nhận lại chỉ nên tương đương số USDC đã nạp.
Tuy nhiên, thực tế xuất hiện bất thường nghiêm trọng:
- Giao dịch đầu tiên phát hành khoảng 50 triệu USR
- Giao dịch thứ hai phát hành thêm 30 triệu USR
Tổng lượng phát hành cao gấp khoảng 500 lần mức dự kiến.
Giá USR lao dốc
USR là stablecoin neo giá USD, nhưng thay vì dự trữ tiền pháp định, lại sử dụng ETH và BTC cùng chiến lược phòng hộ delta-neutral. Khi lượng lớn token không bảo chứng được phát hành, giá thị trường USR nhanh chóng mất kiểm soát.
Các phản ứng thị trường gồm:
- Tại pool thanh khoản Curve Finance
- Giá giảm xuống 0,025 USD chỉ sau 17 phút
(Nguồn: DEXSCREENER)
Dù giá có phục hồi lên khoảng 0,85 USD, USR vẫn không thể lấy lại mốc 1 USD.
Hành động của kẻ tấn công
Địa chỉ bắt đầu bằng 0x04A2 đã thực hiện chuỗi giao dịch arbitrage:
- Hoán đổi USR phát hành lấy USDC và USDT
- Bán các tài sản này trên nhiều sàn phi tập trung
- Cuối cùng chuyển đổi số tiền sang ETH
Dữ liệu on-chain ghi nhận:
- Ví chính nắm giữ 11.409 ETH
- Giá trị tương đương 23,7 triệu USD
Một địa chỉ khác vẫn giữ khoảng 1,1 triệu USD wstUSR.
Phản ứng của Resolv: Tài sản bảo chứng vẫn an toàn
Sau sự cố, Resolv Labs thông báo trên mạng xã hội:
- Đã tạm dừng toàn bộ chức năng giao thức
- Quỹ tài sản bảo chứng vẫn nguyên vẹn
- Vấn đề chỉ ảnh hưởng đến quy trình phát hành USR
(Nguồn: ResolvLabs)
Các chuyên gia phân tích cho rằng dù tài sản bảo chứng không bị chiếm đoạt trực tiếp, tổn thất thị trường vẫn rất lớn.
Cơ chế phân quyền và xác thực chưa đủ
Chuyên gia on-chain Andrew Hong xác định nguyên nhân chính là tài khoản SERVICE_ROLE, xử lý yêu cầu hoán đổi nhưng lại do ví EOA thông thường kiểm soát thay vì multisig.
Hợp đồng phát hành còn thiếu các biện pháp bảo vệ quan trọng:
- Không xác thực giá oracle
- Không giới hạn số lượng phát hành
- Không kiểm tra yêu cầu phát hành hay số lượng thực thi
D2 Finance – quỹ đầu tư DeFi – nêu ba nguyên nhân khả dĩ:
- Giá oracle bị thao túng
- Tài khoản ký ngoại tuyến bị xâm phạm
- Không có cơ chế xác thực số lượng phát hành
(Nguồn: D2_Finance)
Hệ sinh thái DeFi chịu ảnh hưởng dây chuyền
Việc USR sụp đổ tác động không chỉ tới holder mà còn tới thị trường cho vay DeFi. USR và wstUSR từng được dùng làm tài sản thế chấp trên Morpho, Gauntlet.
Một số nhà giao dịch đã tận dụng giá USR dưới 1 USD:
- Mua USR giá rẻ
- Dùng làm tài sản thế chấp với định giá 1 USD trên hệ thống
- Vay USDC
Điều này có thể nhanh chóng làm cạn kiệt thanh khoản các pool cho vay.
Quỹ bảo hiểm và lớp thanh khoản cũng gặp nguy cơ
Cơ chế bảo vệ thanh khoản Resolv Liquidity Pool (RLP) được thiết kế để hấp thụ tổn thất, bảo vệ USR. Trước vụ tấn công, giá trị lưu hành RLP khoảng 38,6 triệu USD, holder lớn nhất là Stream Finance – giao thức từng mất 93 triệu USD vì thất thoát tài sản năm 2025 và nay lại đối mặt rủi ro.
Áp lực pháp lý gia tăng
Sự cố diễn ra đúng lúc Quốc hội Mỹ đang bàn về quy định với stablecoin, gồm Đạo luật GENIUS điều chỉnh stablecoin sinh lợi suất. Hiệp hội Ngân hàng Mỹ cảnh báo các sản phẩm này có thể hút tiền gửi khỏi ngân hàng truyền thống.
Kết luận
Sự cố Resolv USR cho thấy rủi ro stablecoin không chỉ đến từ tài sản bảo chứng mà còn từ lỗ hổng thiết kế hợp đồng và quản lý quyền hạn. Dù tài sản nền tảng không bị xâm phạm, phát hành không kiểm soát và mất niềm tin thị trường vẫn gây ra thiệt hại lớn. Khi DeFi phát triển, việc xây dựng cơ chế giám sát, quản lý quyền hạn, kiểm soát rủi ro vững chắc sẽ quyết định tương lai stablecoin và tài chính on-chain.
