Hanya dengan 200 Ribu, Hacker Raup Hampir 100 Juta, Serangan Lagi Terjadi pada Stablecoin DeFi

marsbitDipublikasikan tanggal 2026-03-22Terakhir diperbarui pada 2026-03-22

Abstrak

Serangan terhadap Resolv Labs, platform stablecoin USR berbasis strategi delta-neutral, terjadi pada pukul 10:21 waktu Beijing. Peretas dengan alamat awal 0x04A2 berhasil mencetak 50 juta USR hanya dengan 100.000 USDC, menyebabkan nilai USR anjlok ke $0.25. Setelah itu, peretas kembali mencetak 30 juta USR dengan 100.000 USDC tambahan. Akibatnya, beberapa platform peminjaman seperti Morpho dan Lista DAO di BNB Chain terdampak signifikan. Penyebab serangan diduga karena kontrol tidak sah terhadap SERVICE_ROLE yang seharusnya dipegang oleh pihak proyek. Sistem mempercayai parameter yang diberikan tanpa verifikasi on-chain atau batas maksimal pencetakan, memungkinkan peretas mencetak USR dalam jumlah besar secara tidak wajar. Resolv Labs juga dikritik karena lambat merespons, membutuhkan 3 jam untuk menghentikan protokol akibat prosedur multi-signature yang rumit. Peretas telah mengonversi USR yang dicuri ke USDC, USDT, dan ETH, menghasilkan keuntungan sekitar $20 juta dari modal awal $200.000. Insiden ini menekankan pentingnya verifikasi berlapis dan mekanisme pencegahan yang lebih efisien dalam desain protokol DeFi.

Ditulis oleh: Eric, Foresight News

Sekitar pukul 10:21 waktu Beijing hari ini, Resolv Labs, yang menerbitkan stablecoin USR menggunakan strategi delta netral, diserang oleh hacker. Alamat yang dimulai dengan 0x04A2 menggunakan 100.000 USDC untuk mencetak 50 juta USR dari protokol Resolv Labs.

Seiring terungkapnya peristiwa ini, harga USR langsung anjlok ke sekitar $0,25, dan pada saat penulisan ini, telah pulih ke sekitar $0,8. Harga token RESOLV juga mengalami penurunan tertinggi hampir 10% dalam waktu singkat.

Kemudian, hacker melakukan hal yang sama lagi dengan menggunakan 100.000 USDC untuk mencetak 30 juta USR. Seiring dengan terlepasnya pasak (depegging) USR secara signifikan, pedagang arbitrase juga cepat bertindak. Banyak pasar pinjaman di Morpho yang mendukung USR, wstUSR, dll. sebagai jaminan hampir habis dilahap. Lista DAO di BNB Chain juga telah menghentikan permintaan pinjaman baru.

Yang terkena dampak tidak hanya protokol pinjaman ini. Dalam desain protokol Resolv Labs, pengguna juga dapat mencetak token RLP, yang memiliki fluktuasi harga lebih besar dan imbal hasil lebih tinggi, tetapi bertanggung jawab untuk memberikan kompensasi ketika protokol mengalami kerugian. Saat ini, jumlah token RLP yang beredar hampir 30 juta, dengan pemegang terbesar Stream Finance memegang lebih dari 13 juta RLP, dengan eksposur risiko bersih sekitar $17 juta.

Benar, Stream Finance, yang sebelumnya sudah terkena imbas sekali karena xUSD, mungkin akan terkena pukulan lagi.

Pada saat penulisan, hacker telah mengonversi USR menjadi USDC dan USDT, dan terus membeli Ethereum, dan telah membeli lebih dari 10.000 ETH. Dengan 200.000 USDC, hacker menguangkan aset senilai lebih dari $20 juta, menemukan 'token 100x' miliknya selama pasar bearish.

Sekali Lagi, Dimanfaatkan karena 'Tidak Ketat'

Penurunan tajam pada 11 Oktober tahun lalu menyebabkan banyak stablecoin yang diterbitkan menggunakan strategi delta netral mengalami kerugian collateral karena ADL (Automatic Deleveraging). Beberapa proyek yang menggunakan altcoin sebagai aset untuk menjalankan strategi mengalami kerugian yang lebih parah bahkan langsung kabur.

Resolv Labs, yang diserang kali ini, juga menggunakan mekanisme serupa untuk menerbitkan USR. Proyek ini pernah mengumumkan pada April 2025 bahwa mereka telah menyelesaikan putaran seed senilai $10 juta yang dipimpin oleh Cyber.Fund dan Maven11, dengan partisipasi dari Coinbase Ventures, dan meluncurkan token RESOLV pada akhir Mei/awal Juni.

Namun, alasan Resolv Labs diserang bukanlah kondisi pasar yang ekstrem, melainkan desain mekanisme pencetakan USR yang 'tidak cukup ketat'.

Saat ini belum ada perusahaan keamanan atau pihak resmi yang menganalisis penyebab peristiwa peretasan ini. Komunitas DeFi YAM melalui analisis awal menyimpulkan: Serangan kemungkinan besar disebabkan karena SERVICE_ROLE, yang digunakan oleh backend protokol untuk memberikan parameter ke kontrak pencetakan, dikendalikan oleh peretas.

Menurut analisis Grok, ketika pengguna mencetak USR, mereka akan mengirimkan permintaan on-chain dan memanggil fungsi requestMint dari kontrak, parameternya termasuk:

_depositTokenAddress: alamat token yang disetor;

_amount: jumlah yang disetor;

_minMintAmount: jumlah minimum USR yang diharapkan diterima (perlindungan slippage).

Kemudian, pengguna menyetor USDC atau USDT ke dalam kontrak, backend proyek SERVICE_ROLE memantau permintaan, menggunakan oracle Pyth untuk memeriksa nilai aset yang disetor, lalu memanggil fungsi completeMint atau completeSwap, untuk menentukan jumlah USR yang sebenarnya dicetak.

Masalahnya terletak pada, kontrak pencetakan sepenuhnya mempercayai _mintAmount yang diberikan oleh SERVICE_ROLE, menganggap angka ini telah diverifikasi off-chain oleh Pyth, sehingga tidak menetapkan batasan上限 (batas atas), juga tidak ada verifikasi oracle on-chain, langsung menjalankan mint(_mintAmount).

Berdasarkan ini, YAM menduga hacker mengendalikan SERVICE_ROLE yang seharusnya dikendalikan oleh pihak proyek (mungkin karena oracle internal失控 (kendali hilang), penipuan内部 (internal), atau pencurian kunci), saat mencetak langsung mengatur _mintAmount menjadi 50 juta, mewujudkan peristiwa serangan dengan menggunakan 100.000 USDC untuk mencetak 50 juta USR.

Pada akhirnya, kesimpulan yang diberikan Grok adalah, Resolv saat mendesain protokol tidak mempertimbangkan kemungkinan bahwa alamat (atau kontrak) yang digunakan untuk menerima permintaan pencetakan pengguna dapat dikendalikan oleh peretas. Saat permintaan pencetakan USR diserahkan ke kontrak yang akhirnya mencetak USR, tidak ada pengaturan jumlah pencetakan maksimum, juga tidak meminta kontrak pencetakan untuk melakukan verifikasi ulang dengan oracle on-chain, langsung mempercayai semua parameter yang diberikan oleh SERVICE_ROLE.

Pencegahan Juga Tidak Memadai

Selain menduga alasan peretasan, YAM juga menunjuk pada kesiapan yang tidak memadai dari pihak proyek dalam menangani krisis.

YAM di X menyatakan, Resolv Labs baru menjeda protokol 3 jam setelah serangan pertama hacker selesai,其中 (diantaranya) sekitar 1 jam penundaan berasal dari pengumpulan 4 tanda tangan yang diperlukan untuk transaksi multi-signature. YAM berpendapat, penjeda darurat seharusnya hanya memerlukan satu tanda tangan, dan wewenang harus didistribusikan ke anggota tim sebanyak mungkin, atau personel operasional eksternal yang tepercaya, untuk meningkatkan perhatian pada perilaku anomali on-chain, meningkatkan kemungkinan penjeda cepat, dan lebih baik mencakup zona waktu yang berbeda.

Meskipun saran untuk hanya memerlukan satu tanda tangan untuk menjeda protokol agak radikal, tetapi memerlukan多个 (banyak) tanda tangan dari berbagai zona waktu yang berbeda untuk menjeda protokol memang dapat menunda hal besar dalam situasi darurat. Memperkenalkan pihak ketiga tepercaya yang terus memantau perilaku on-chain, atau menggunakan alat pemantauan yang memiliki izin untuk menjeda protokol darurat, adalah 'pelajaran' yang dibawa oleh peristiwa ini.

Serangan hacker terhadap protokol DeFi早就 (sudah lama) tidak terbatas pada kerentanan kontrak. Peristiwa Resolv Labs memberikan peringatan kepada proyek: Asumsi dalam hal keamanan protokol应该是 (seharusnya) tidak mempercayai salah satu环节 (link) pun, semua环节 yang melibatkan parameter harus setidaknya diverifikasi ulang, bahkan backend yang dioperasikan oleh proyek sendiri也不例外 (tidak terkecuali).

Pertanyaan Terkait

QApa yang terjadi dengan Resolv Labs dan bagaimana serangan itu mempengaruhi nilai USR?

AResolv Labs, platform yang menggunakan strategi delta netral untuk menerbitkan stablecoin USR, diserang oleh peretas. Alamat yang dimulai dengan 0x04A2 menggunakan 100.000 USDC untuk mencetak 50 juta USR, menyebabkan nilai USR anjlok menjadi sekitar $0.25, sebelum pulih ke $0.80. Serangan kedua menggunakan 100.000 USDC lagi untuk mencetak 30 juta USR semakin memperparah situasi.

QBagaimana cara peretas mengeksploitasi celah dalam protokol Resolv Labs?

APeretas diduga mengontrol SERVICE_ROLE yang seharusnya dikelola oleh tim Resolv Labs. Peran ini memberikan parameter _mintAmount ke kontrak pencetakan tanpa batasan maksimal atau verifikasi oracle on-chain, memungkinkan peretas mencetak 50 juta USR hanya dengan 100.000 USDC.

QApa dampak serangan ini terhadap platform lain seperti Morpho dan Lista DAO?

ASerangan ini menyebabkan pasar pinjaman di Morpho, yang menerima USR dan wstUSR sebagai jaminan, hampir habis. Lista DAO di BNB Chain juga menghentikan sementara permintaan pinjaman baru karena penurunan nilai USR yang signifikan.

QSiapa yang paling terdampak selain Resolv Labs sendiri, dan mengapa?

AStream Finance adalah pihak yang paling terdampak, memegang lebih dari 13 juta RLP token dengan eksposur risiko bersih $17 juta. Token RLP dirancang untuk menanggung liabilitas jika protokol mengalami kerugian, membuat Stream Finance kembali mengalami pukulan finansial signifikan setelah sebelumnya terdampak oleh kolapsnya xUSD.

QApa pelajaran penting dari serangan ini bagi proyek DeFi lainnya?

ASerangan ini menggarisbawahi pentingnya tidak mempercayai satu pun bagian dalam protokol secara membabi buta. Semua parameter harus diverifikasi ulang, bahkan yang berasal dari backend internal. Prosedur penghentian darurat juga harus lebih efisien, tidak bergantung pada banyak tanda tangan yang dapat menunda respons selama krisis.

Bacaan Terkait

Peter Todd Peringatkan Teknologi Zcash Terlalu Berisiko Untuk Dorongan Privasi Bitcoin

Pengembang Bitcoin, Peter Todd, menentang usulan untuk memasukkan fitur privasi ala Zcash ke dalam lapisan konsensus Bitcoin, dengan alasan profil risiko kriptografinya terlalu tinggi untuk protokol inti jaringan. Debat ini muncul setelah pengembang ZODL mengungkap masalah yang memengaruhi "shielded pool" Orchard di Zcash, yang memicu diskusi lebih luas tentang privasi, kemampuan audit, dan konsep "osifikasi" Bitcoin. Todd berargumen bahwa sistem akuntansi transparan Bitcoin memungkinkan bug kritis lebih mudah dideteksi dan diperbaiki, seperti pada insiden "value overflow" 2010, karena koin palsu dapat terlihat di blockchain. Sebaliknya, dalam sistem privasi seperti Zcash yang "terlindungi", sebuah bug dapat lebih sulit diamati, diatribusikan, dan dibatalkan, sehingga berpotensi menghancurkan saldo pengguna tanpa mudah dikembalikan. Ia menekankan bahwa meskipun Bitcoin tidak kebal bug, jenis kriptografi yang digunakan Zcash membawa risiko operasional yang jauh lebih tinggi. Todd mencontohkan bahwa sekitar 30% pasokan ZEC sudah berada dalam shielded pool, sehingga kerusakan di sana akan menjadi bencana bagi banyak pengguna. Para pendukung Zcash membantah, menyatakan bahwa bug tidak dapat memengaruhi total pasokan ZEC dan menyoroti bahwa Bitcoin juga pernah mengalami masalah serius. Namun, Todd bersikeras bahwa tidak satu pun insiden Bitcoin mengancam kelangsungan mata uangnya seperti yang mungkin terjadi pada sistem privasi yang kompleks.

bitcoinist54m yang lalu

Peter Todd Peringatkan Teknologi Zcash Terlalu Berisiko Untuk Dorongan Privasi Bitcoin

bitcoinist54m yang lalu

Rasa Sakit Pemegang Bitcoin HODLer Melampaui Tingkat Keruntuhan FTX Saat Penurunan Harga BTC Semakin Dalam

Data on-chain menunjukkan pemegang Bitcoin jangka panjang (LTH) saat ini memegang pasokan yang merugi lebih besar daripada titik terendah pasar bearish 2022, bahkan melebihi level setelah crash FTX. Peningkatan tajam pasokan yang merugi ini terjadi menyusul penurunan harga Bitcoin baru-baru ini, dengan LTH kini memegang sekitar 5.3 juta BTC dalam kondisi rugi. Level ini hanya pernah terlampaui selama crash COVID-19 pada Maret 2020. Pemegang jangka panjang, yang menyimpan asetnya lebih dari 155 hari, umumnya dianggap sebagai tangan kuat pasar. Namun, karena harga BTC telah turun di bawah level pembelian banyak investor yang masuk sebelum Januari 2025, sebagian besar dari mereka kini mengalami kerugian. Meski kondisi ekstrem seperti ini dalam sejarah sering menandai titik balik pasar, analis mencatat proses resolusi masih berlangsung. Saat artikel dibuat, harga Bitcoin diperdagangkan di sekitar $64.000, turun lebih dari 13% dalam seminggu terakhir. Pertanyaan yang tersisa adalah apakah kerugian LTH akan mencapai level lebih tinggi lagi atau apakah pembalikan tren akan segera menyusul.

bitcoinist54m yang lalu

Rasa Sakit Pemegang Bitcoin HODLer Melampaui Tingkat Keruntuhan FTX Saat Penurunan Harga BTC Semakin Dalam

bitcoinist54m yang lalu

UBS: Tingkat Kepadatan Saham Teknologi A-Shares Jauh Belum Capai Puncak Sejarah

Artikel ini menyajikan analisis UBS mengenai kondisi pasar teknologi A-shares. Meskipun volume perdagangan dan proporsi kapitalisasi pasar sektor teknologi besar telah mencapai rekor tertinggi, UBS menilai bahwa tingkat kepadatan (crowdedness) masih jauh dari puncak sejarah. Indikator inti, yaitu rasio over-weight reksa dana terhadap sektor teknologi besar (elektronik, komunikasi, komputer, dan pertahanan), tercatat 9.9% pada Q1 2026, lebih rendah dari puncak sejarah 14.1% pada Q4 2015 dan jauh di bawah puncak sektor konsumen (18.7%). Laporan UBS mencatat bahwa siklus gaya investasi (style cycle) biasanya berlangsung sekitar tiga tahun, sementara kinerja unggul gaya pertumbuhan teknologi saat ini baru berjalan kurang dari dua tahun sejak perubahan kebijakan pada September 2024, menunjukkan ruang lebih untuk kenaikan. Dasar fundamental pasar juga menguat dengan pemulihan laba. UBS memproyeksikan pertumbuhan laba semua perusahaan A-shares naik dari 3.9% pada 2025 menjadi 11% pada 2026. Pada Q1 2026, laba sektor non-keuangan tumbuh 11.8% (y/y), dengan margin kotor dan margin bersih mencapai level tertinggi sejak 2023. Inflasi yang meningkat (PPI +2.8% pada April) juga diperkirakan akan mendorong ekspansi pendapatan. Dari sisi konfigurasi taktis, UBS cenderung pada gaya pertumbuhan dan siklus dalam skenario "slow bull", dan merekomendasikan over-weight pada enam sektor: elektronik, komunikasi, peralatan listrik, mesin, logam non-besi, dan kimia.

marsbit1j yang lalu

UBS: Tingkat Kepadatan Saham Teknologi A-Shares Jauh Belum Capai Puncak Sejarah

marsbit1j yang lalu

Pejabat Fed: Saat Ini Pilihan Adalah Tetap Sabar atau Naikkan Suku Bunga, Inflasi Adalah Risiko Nomor Satu Ekonomi, AI Belum Berpengaruh

Pejabat Federal Reserve (Fed) AS, termasuk Presiden Bank Sentral Kansas City Jeffrey Schmid, San Francisco Mary Daly, dan Richmond Thomas Barkin, menyampaikan sinyal kebijakan yang cenderung hawkish mengenai inflasi dan suku bunga. Schmid menegaskan bahwa inflasi adalah risiko nomor satu bagi ekonomi AS dan untuk pertama kalinya secara terbuka memasukkan kenaikan suku bunga sebagai opsi kebijakan, tidak lagi menyebut kemungkinan penurunan suku bunga. Dia mempertanyakan apakah Fed harus tetap bersabar atau bertindak menaikkan suku bunga 25-50 basis poin untuk menekan inflasi yang bertahan di sekitar 3,5%. Daly menyatakan kebijakan moneter saat ini berada pada posisi yang baik, namun ketidakpastian ekonomi terlalu tinggi sehingga memberikan panduan ke depan berisiko menyesatkan pasar. Fed siap merespons ke dua arah. Dia juga menyebutkan bahwa AI belum mendorong atau menurunkan inflasi saat ini, dan peningkatan produktivitas secara luas belum terlihat dalam data makro. Efek deflasi AI baru mungkin relevan dalam kerangka waktu 5-10 tahun. Barkin menilai pasar tenaga kerja AS saat ini seimbang dan tidak menunjukkan ketegangan secara keseluruhan. Investor, berdasarkan kontrak futures suku bunga, kini menilai probabilitas kenaikan suku bunga dalam tahun ini telah meningkat. Fed diperkirakan akan mempertahankan suku bunga tetap pada pertemuan FOMC Juni mendatang.

marsbit1j yang lalu

Pejabat Fed: Saat Ini Pilihan Adalah Tetap Sabar atau Naikkan Suku Bunga, Inflasi Adalah Risiko Nomor Satu Ekonomi, AI Belum Berpengaruh

marsbit1j yang lalu

Jika Anda Menunggu Titik Terendah Bitcoin, Pakar Ini Menyarankan Anda Mencermati Kuartal Ini

Bitcoin saat ini berada di sekitar $60.000, mendekati level terendahnya pada 6 Februari, dengan sentimen pasar kripto kembali dalam kondisi "ekstrem ketakutan". Banyak yang bertanya-tanya kapan Bitcoin akan mencapai titik terendah koreksi ini. Seorang pakar kripto bernama Ardi menunjuk pada pola historis: dalam setiap siklus bear market sebelumnya, Bitcoin selalu mencapai titik terendahnya pada kuartal keempat tahun tersebut (misalnya November 2014, Desember 2018, November 2022). Karena tahun ini masih berada di kuartal kedua, pola tersebut menunjukkan masih ada ruang untuk penurunan lebih lanjut sebelum potensi bottom terbentuk. Analis lainnya, termasuk Benjamin Cowen, juga cenderung sepakat bahwa titik terendah siklus ini kemungkinan akan terjadi sekitar kuartal keempat tahun 2026, berdasarkan durasi rata-rata pasar bearish dan siklus empat tahunan Bitcoin. Pada saat penulisan, BTC diperdagangkan di sekitar $62.950, dengan tekanan jual dari ETF Bitcoin terus membebani sentimen pasar.

bitcoinist1j yang lalu

Jika Anda Menunggu Titik Terendah Bitcoin, Pakar Ini Menyarankan Anda Mencermati Kuartal Ini

bitcoinist1j yang lalu

Trading

Spot
Futures
活动图片

Kategori Populerright-arrow

Tag Populerright-arrow