Hanya dengan 200 Ribu, Hacker Raup Hampir 100 Juta, Serangan Lagi Terjadi pada Stablecoin DeFi

marsbitDipublikasikan tanggal 2026-03-22Terakhir diperbarui pada 2026-03-22

Abstrak

Serangan terhadap Resolv Labs, platform stablecoin USR berbasis strategi delta-neutral, terjadi pada pukul 10:21 waktu Beijing. Peretas dengan alamat awal 0x04A2 berhasil mencetak 50 juta USR hanya dengan 100.000 USDC, menyebabkan nilai USR anjlok ke $0.25. Setelah itu, peretas kembali mencetak 30 juta USR dengan 100.000 USDC tambahan. Akibatnya, beberapa platform peminjaman seperti Morpho dan Lista DAO di BNB Chain terdampak signifikan. Penyebab serangan diduga karena kontrol tidak sah terhadap SERVICE_ROLE yang seharusnya dipegang oleh pihak proyek. Sistem mempercayai parameter yang diberikan tanpa verifikasi on-chain atau batas maksimal pencetakan, memungkinkan peretas mencetak USR dalam jumlah besar secara tidak wajar. Resolv Labs juga dikritik karena lambat merespons, membutuhkan 3 jam untuk menghentikan protokol akibat prosedur multi-signature yang rumit. Peretas telah mengonversi USR yang dicuri ke USDC, USDT, dan ETH, menghasilkan keuntungan sekitar $20 juta dari modal awal $200.000. Insiden ini menekankan pentingnya verifikasi berlapis dan mekanisme pencegahan yang lebih efisien dalam desain protokol DeFi.

Ditulis oleh: Eric, Foresight News

Sekitar pukul 10:21 waktu Beijing hari ini, Resolv Labs, yang menerbitkan stablecoin USR menggunakan strategi delta netral, diserang oleh hacker. Alamat yang dimulai dengan 0x04A2 menggunakan 100.000 USDC untuk mencetak 50 juta USR dari protokol Resolv Labs.

Seiring terungkapnya peristiwa ini, harga USR langsung anjlok ke sekitar $0,25, dan pada saat penulisan ini, telah pulih ke sekitar $0,8. Harga token RESOLV juga mengalami penurunan tertinggi hampir 10% dalam waktu singkat.

Kemudian, hacker melakukan hal yang sama lagi dengan menggunakan 100.000 USDC untuk mencetak 30 juta USR. Seiring dengan terlepasnya pasak (depegging) USR secara signifikan, pedagang arbitrase juga cepat bertindak. Banyak pasar pinjaman di Morpho yang mendukung USR, wstUSR, dll. sebagai jaminan hampir habis dilahap. Lista DAO di BNB Chain juga telah menghentikan permintaan pinjaman baru.

Yang terkena dampak tidak hanya protokol pinjaman ini. Dalam desain protokol Resolv Labs, pengguna juga dapat mencetak token RLP, yang memiliki fluktuasi harga lebih besar dan imbal hasil lebih tinggi, tetapi bertanggung jawab untuk memberikan kompensasi ketika protokol mengalami kerugian. Saat ini, jumlah token RLP yang beredar hampir 30 juta, dengan pemegang terbesar Stream Finance memegang lebih dari 13 juta RLP, dengan eksposur risiko bersih sekitar $17 juta.

Benar, Stream Finance, yang sebelumnya sudah terkena imbas sekali karena xUSD, mungkin akan terkena pukulan lagi.

Pada saat penulisan, hacker telah mengonversi USR menjadi USDC dan USDT, dan terus membeli Ethereum, dan telah membeli lebih dari 10.000 ETH. Dengan 200.000 USDC, hacker menguangkan aset senilai lebih dari $20 juta, menemukan 'token 100x' miliknya selama pasar bearish.

Sekali Lagi, Dimanfaatkan karena 'Tidak Ketat'

Penurunan tajam pada 11 Oktober tahun lalu menyebabkan banyak stablecoin yang diterbitkan menggunakan strategi delta netral mengalami kerugian collateral karena ADL (Automatic Deleveraging). Beberapa proyek yang menggunakan altcoin sebagai aset untuk menjalankan strategi mengalami kerugian yang lebih parah bahkan langsung kabur.

Resolv Labs, yang diserang kali ini, juga menggunakan mekanisme serupa untuk menerbitkan USR. Proyek ini pernah mengumumkan pada April 2025 bahwa mereka telah menyelesaikan putaran seed senilai $10 juta yang dipimpin oleh Cyber.Fund dan Maven11, dengan partisipasi dari Coinbase Ventures, dan meluncurkan token RESOLV pada akhir Mei/awal Juni.

Namun, alasan Resolv Labs diserang bukanlah kondisi pasar yang ekstrem, melainkan desain mekanisme pencetakan USR yang 'tidak cukup ketat'.

Saat ini belum ada perusahaan keamanan atau pihak resmi yang menganalisis penyebab peristiwa peretasan ini. Komunitas DeFi YAM melalui analisis awal menyimpulkan: Serangan kemungkinan besar disebabkan karena SERVICE_ROLE, yang digunakan oleh backend protokol untuk memberikan parameter ke kontrak pencetakan, dikendalikan oleh peretas.

Menurut analisis Grok, ketika pengguna mencetak USR, mereka akan mengirimkan permintaan on-chain dan memanggil fungsi requestMint dari kontrak, parameternya termasuk:

_depositTokenAddress: alamat token yang disetor;

_amount: jumlah yang disetor;

_minMintAmount: jumlah minimum USR yang diharapkan diterima (perlindungan slippage).

Kemudian, pengguna menyetor USDC atau USDT ke dalam kontrak, backend proyek SERVICE_ROLE memantau permintaan, menggunakan oracle Pyth untuk memeriksa nilai aset yang disetor, lalu memanggil fungsi completeMint atau completeSwap, untuk menentukan jumlah USR yang sebenarnya dicetak.

Masalahnya terletak pada, kontrak pencetakan sepenuhnya mempercayai _mintAmount yang diberikan oleh SERVICE_ROLE, menganggap angka ini telah diverifikasi off-chain oleh Pyth, sehingga tidak menetapkan batasan上限 (batas atas), juga tidak ada verifikasi oracle on-chain, langsung menjalankan mint(_mintAmount).

Berdasarkan ini, YAM menduga hacker mengendalikan SERVICE_ROLE yang seharusnya dikendalikan oleh pihak proyek (mungkin karena oracle internal失控 (kendali hilang), penipuan内部 (internal), atau pencurian kunci), saat mencetak langsung mengatur _mintAmount menjadi 50 juta, mewujudkan peristiwa serangan dengan menggunakan 100.000 USDC untuk mencetak 50 juta USR.

Pada akhirnya, kesimpulan yang diberikan Grok adalah, Resolv saat mendesain protokol tidak mempertimbangkan kemungkinan bahwa alamat (atau kontrak) yang digunakan untuk menerima permintaan pencetakan pengguna dapat dikendalikan oleh peretas. Saat permintaan pencetakan USR diserahkan ke kontrak yang akhirnya mencetak USR, tidak ada pengaturan jumlah pencetakan maksimum, juga tidak meminta kontrak pencetakan untuk melakukan verifikasi ulang dengan oracle on-chain, langsung mempercayai semua parameter yang diberikan oleh SERVICE_ROLE.

Pencegahan Juga Tidak Memadai

Selain menduga alasan peretasan, YAM juga menunjuk pada kesiapan yang tidak memadai dari pihak proyek dalam menangani krisis.

YAM di X menyatakan, Resolv Labs baru menjeda protokol 3 jam setelah serangan pertama hacker selesai,其中 (diantaranya) sekitar 1 jam penundaan berasal dari pengumpulan 4 tanda tangan yang diperlukan untuk transaksi multi-signature. YAM berpendapat, penjeda darurat seharusnya hanya memerlukan satu tanda tangan, dan wewenang harus didistribusikan ke anggota tim sebanyak mungkin, atau personel operasional eksternal yang tepercaya, untuk meningkatkan perhatian pada perilaku anomali on-chain, meningkatkan kemungkinan penjeda cepat, dan lebih baik mencakup zona waktu yang berbeda.

Meskipun saran untuk hanya memerlukan satu tanda tangan untuk menjeda protokol agak radikal, tetapi memerlukan多个 (banyak) tanda tangan dari berbagai zona waktu yang berbeda untuk menjeda protokol memang dapat menunda hal besar dalam situasi darurat. Memperkenalkan pihak ketiga tepercaya yang terus memantau perilaku on-chain, atau menggunakan alat pemantauan yang memiliki izin untuk menjeda protokol darurat, adalah 'pelajaran' yang dibawa oleh peristiwa ini.

Serangan hacker terhadap protokol DeFi早就 (sudah lama) tidak terbatas pada kerentanan kontrak. Peristiwa Resolv Labs memberikan peringatan kepada proyek: Asumsi dalam hal keamanan protokol应该是 (seharusnya) tidak mempercayai salah satu环节 (link) pun, semua环节 yang melibatkan parameter harus setidaknya diverifikasi ulang, bahkan backend yang dioperasikan oleh proyek sendiri也不例外 (tidak terkecuali).

Pertanyaan Terkait

QApa yang terjadi dengan Resolv Labs dan bagaimana serangan itu mempengaruhi nilai USR?

AResolv Labs, platform yang menggunakan strategi delta netral untuk menerbitkan stablecoin USR, diserang oleh peretas. Alamat yang dimulai dengan 0x04A2 menggunakan 100.000 USDC untuk mencetak 50 juta USR, menyebabkan nilai USR anjlok menjadi sekitar $0.25, sebelum pulih ke $0.80. Serangan kedua menggunakan 100.000 USDC lagi untuk mencetak 30 juta USR semakin memperparah situasi.

QBagaimana cara peretas mengeksploitasi celah dalam protokol Resolv Labs?

APeretas diduga mengontrol SERVICE_ROLE yang seharusnya dikelola oleh tim Resolv Labs. Peran ini memberikan parameter _mintAmount ke kontrak pencetakan tanpa batasan maksimal atau verifikasi oracle on-chain, memungkinkan peretas mencetak 50 juta USR hanya dengan 100.000 USDC.

QApa dampak serangan ini terhadap platform lain seperti Morpho dan Lista DAO?

ASerangan ini menyebabkan pasar pinjaman di Morpho, yang menerima USR dan wstUSR sebagai jaminan, hampir habis. Lista DAO di BNB Chain juga menghentikan sementara permintaan pinjaman baru karena penurunan nilai USR yang signifikan.

QSiapa yang paling terdampak selain Resolv Labs sendiri, dan mengapa?

AStream Finance adalah pihak yang paling terdampak, memegang lebih dari 13 juta RLP token dengan eksposur risiko bersih $17 juta. Token RLP dirancang untuk menanggung liabilitas jika protokol mengalami kerugian, membuat Stream Finance kembali mengalami pukulan finansial signifikan setelah sebelumnya terdampak oleh kolapsnya xUSD.

QApa pelajaran penting dari serangan ini bagi proyek DeFi lainnya?

ASerangan ini menggarisbawahi pentingnya tidak mempercayai satu pun bagian dalam protokol secara membabi buta. Semua parameter harus diverifikasi ulang, bahkan yang berasal dari backend internal. Prosedur penghentian darurat juga harus lebih efisien, tidak bergantung pada banyak tanda tangan yang dapat menunda respons selama krisis.

Bacaan Terkait

Humanity Dicuri Lebih dari $31 Juta, Tim di Baliknya Sedang Merintis Proyek Baru?

Artikel dari Odaily Planet Daily melaporkan insiden keamanan besar di mana Humanity Protocol (H) mengalami serangan hacker yang mengakibatkan kerugian melebihi 31 juta dolar AS. Serangan ini terjadi karena kebocoran kunci pribadi anggota tim, memicu penjualan besar-besaran token H dan penurunan harga hingga lebih dari 90%. Peneliti on-chain ZachXBT menyatakan keraguan terhadap penjelasan resmi, mencurigai insiden ini mungkin direncanakan oleh internal proyek, terutama mengingat sejarah tim yang bermasalah. Tim Humanity dituduh telah bekerja sama dengan market maker dan memanipulasi pasar. Selain itu, tim dikabarkan telah beralih fokus ke proyek baru bernama Everything, yang telah mengumpulkan pendanaan 6,9 juta dolar AS. Artikel ini menyoroti kontroversi seputar tim Humanity, termasuk catatan kinerja buruk pendiri dan investor, serta praktik seperti outsourcing teknologi dan masalah dalam distribusi airdrop. Kesimpulannya, insiden ini menimbulkan pertanyaan tentang integritas proyek dan kemungkinan motif tersembunyi di balik "serangan" tersebut, dengan kerugian akhirnya ditanggung oleh investor dan trader token H.

Odaily星球日报43m yang lalu

Humanity Dicuri Lebih dari $31 Juta, Tim di Baliknya Sedang Merintis Proyek Baru?

Odaily星球日报43m yang lalu

Sun Zhenyi yang Dibangkrutkan oleh Kisah-Kisah Indah, Kini Menanti Alibaba Berikutnya

孫 Masayoshi Son kembali meraih kesuksesan besar setelah melewati masa sulit. Di tengah gelembung dot-com, ia kehilangan $70 miliar, namun investasi di Alibaba membawanya kembali. Ia mendirikan Vision Fund dengan $100 miliar, tetapi investasi seperti WeWork menyebabkan kerugian besar dan krisis kepercayaan. Pada 2022, SoftBank mengalami kerugian miliaran dolar, dan Son sempat merasa gagal. Namun, era AI membawa perubahan. Investasi awal Son di ARM, yang dibeli senilai $32 miliar, kini melonjak nilainya setelah IPO. Selain itu, investasi besar di OpenAI—dengan total komitmen mencapai $64,6 miliar—memberikan keuntungan signifikan. Kembalinya Son sebagai orang terkaya di Asia didorong oleh kenaikan harga saham SoftBank, yang kini lebih berharga dari Toyota. Son membuktikan bahwa keyakinannya pada teknologi besar sekali lagi membuahkan hasil.

marsbit1j yang lalu

Sun Zhenyi yang Dibangkrutkan oleh Kisah-Kisah Indah, Kini Menanti Alibaba Berikutnya

marsbit1j yang lalu

WeChat Agent Mengeluarkan 'Seruan Pahlawan', Separuh Dunia Internet Merespons

**Ringkasan: WeChat Luncurkan "Panggilan Pahlawan" untuk AI Agent, Separuh Industri Internet Merespons** WeChat segera menghadirkan AI Agent yang mampu mengotomatiskan tugas dalam ekosistemnya. Platform terbuka WeChat telah menerbitkan panduan pengembang yang memungkinkan mini-program terintegrasi dengan AI. Setelah diakses, AI dapat merekomendasikan dan menggunakan layanan mini-program tersebut. Dua mode disediakan: otomatis (tanpa pengkodean tambahan) dan pengembangan (kustomisasi). Pesaing seperti Meituan, Ctrip, dan Tongcheng telah mengumumkan integrasi awal. Misalnya, pengguna nantinya dapat memesan makanan melalui AI WeChat menggunakan layanan Meituan Waimai. WeChat juga bekerja sama dengan produsen ponsel seperti Huawei, Xiaomi, dan lainnya untuk mengintegrasikan kemampuan asisten AI (A2A) agar pengguna dapat memulai panggilan atau mengirim pesan melalui perintah suara. Rancangan awal menunjukkan pengguna dapat menggeser ke kanan di antarmuka utama untuk mengakses Agent. Dengan perintah alami (misal, "pesan kopi di bawah 30 yuan"), AI akan secara otomatis mencari, membandingkan, dan menyelesaikan pesanan melalui mini-program yang relevan. Kekuatan utamanya adalah kemampuannya mengoordinasikan jutaan mini-program, konten, jejaring sosial, dan pembayaran dalam satu ekosistem dengan lebih dari 1,4 miliar pengguna aktif bulanan. Tantangan teknis meliputi pemahaman konteks percakapan yang kompleks, prediksi hasil operasi antarmuka pengguna (dengan model dunia UI-Oceanus), dan pengendalian biaya komputasi untuk skala masif. Solusinya melibatkan penjadwalan multi-model, menggunakan model yang lebih kecil untuk tugas dasar dan model yang lebih kuat untuk tugas kompleks. Strategi internal Tencent, "Co-Design," memungkinkan kemampuan AI yang dikembangkan di produk seperti Yuanbao (obrolan), WorkBuddy (kantor), ima (pencarian), dan Marvis (penjadwalan tugas) bermigrasi dan memperkuat WeChat AI. Pendekatan ini memanfaatkan data dunia nyata untuk melatih model dasar Hunyuan. Tencent secara tegas memilih protokol A2A (Agent-to-Agent) yang terkendali untuk kolaborasi eksternal, menolak metode GUI yang mensimulasikan klik layar karena alasan keamanan dan kendali ekosistem. Ini membuka pintu bagi asisten ponsel (seperti YOYO dari Honor) untuk mengakses fungsi WeChat secara terbatas dengan izin. Dengan biaya operasional yang sangat besar karena jumlah penggunanya, WeChat AI berpotensi mengenakan biaya untuk layanan bernilai tinggi. Kemitraan dan investasi Tencent dalam DeepSeek dapat menjadi solusi untuk penyediaan model AI berbiaya rendah. Nilai praktisnya terletak pada penyelesaian tugas dunia nyata secara efisien bagi pengguna perorangan dan bisnis, yang dapat mendefinisikan "babak kedua" AI bagi Tencent.

marsbit1j yang lalu

WeChat Agent Mengeluarkan 'Seruan Pahlawan', Separuh Dunia Internet Merespons

marsbit1j yang lalu

Strategi Hapus Penjualan Bitcoin Pekan Lalu Dengan Pembelian 1.550 BTC

Perusahaan treasury Bitcoin, Strategy, telah mengembalikan penjualan 32 BTC minggu lalu dengan pembelian besar-besaran sebanyak 1.550 BTC senilai sekitar $101 juta. Pembelian ini meningkatkan total cadangan Bitcoin perusahaan menjadi rekor baru, yaitu 845.256 BTC. Pembelian didanai dari penjualan saham MSTR melalui penawaran ATM. Selain Bitcoin, Strategy juga menambahkan $100 juta ke dalam cadangan USD-nya, menjadikan totalnya $1 miliar. Cadangan ini berfungsi sebagai penyangga untuk pembayaran dividen. Sementara itu, CEO Phong Le menegaskan komitmen perusahaan untuk terus meningkatkan kepemilikan Bitcoin bersih dan Bitcoin per saham. Di sisi lain, dana ETF spot Bitcoin AS mencatat arus keluar bersih mingguan keempat berturut-turut sebesar $1,72 miliar. Harga Bitcoin sendiri saat ini berkisar di $63.400, turun hampir 12% dalam sepekan terakhir.

bitcoinist1j yang lalu

Strategi Hapus Penjualan Bitcoin Pekan Lalu Dengan Pembelian 1.550 BTC

bitcoinist1j yang lalu

MicroStrategy Tidak Akan Mati dalam Penurunan Ini: Refleksivitas, Jangkar Kembali STRC ke Nilai Nominal, dan Logika Penyelamatan 'Jual Saham, Jangan Jual Koin'

Penulis (@bonnazhu) menganalisis penurunan harga Bitcoin (BTC) terkini dan dampaknya pada MicroStrategy (MSTR) serta saham preferennya (STRC). Intinya: 1. **Pemicu Penurunan**: Penurunan cepat BTC diduga akibat serangan pasar yang memanfaatkan kekhawatiran likuiditas MSTR. MSTR menggunakan cadangan kasnya untuk membeli kembali obligasi konversi dan menjual 32 BTC, memicu narasi "krisis arus kas". Ini adalah contoh **refleksivitas**, di mana ekspektasi pasar dapat mengubah realitas—serupa dengan serangan George Soros terhadap poundsterling. 2. **STRC dan Anjaknya**: STRC turun karena kekhawatiran pasar atas kemampuan MSTR membayar dividen, meningkatkan tingkat pengembalian yang disyaratkan. Namun, sebagai obligasi suku bunga mengambang, harga STRC akan kembali ke nilai pari (100) seiring waktu karena dividen dapat disesuaikan. 3. **Solusi yang Direkomendasikan**: Daripada menjual BTC (yang merusak narasi "tidak pernah jual BTC" dan mengurangi premium mNAV), MSTR sebaiknya **menerbitkan saham baru** saat mNAV > 1. Ini mengisi cadangan kas tanpa mengurangi kepemilikan BTC per saham, mempertahankan premium, meningkatkan ekuitas, dan memperbaiki rasio utang. Menjual BTC justru memperburuk rasio utang, mengurangi kepemilikan BTC per saham, dan dapat merusak narasi investasi jangka panjang. Kesimpulan: MSTR dapat mengatasi tekanan jangka pendek, tetapi menjual BTC berisiko merusak model bisnisnya. Jika MSTR memilih menjual BTC, krisis mungkin teratasi sekarang, tetapi dapat memicu siklus refleksif serupa di masa depan jika narasi intinya berubah.

marsbit1j yang lalu

MicroStrategy Tidak Akan Mati dalam Penurunan Ini: Refleksivitas, Jangkar Kembali STRC ke Nilai Nominal, dan Logika Penyelamatan 'Jual Saham, Jangan Jual Koin'

marsbit1j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow