Besides the Resolv Hack, This Type of DeFi Vulnerability Has Occurred Four Times Already

marsbitXuất bản vào 2026-03-24Cập nhật gần nhất vào 2026-03-24

Tóm tắt

An attacker exploited a compromised off-chain signing key in the stablecoin protocol Resolv, minting 80 million USR tokens (pegged to USD) from a $100k–$200k USDC deposit within minutes. The stolen keys allowed unlimited minting due to a design flaw—lacking a minting cap—despite multiple audits. The attacker then converted USR to its wrapped version (wstUSR) and dumped it on DEXs, netting ~11,400 ETH (~$24M). This caused USR to depeg, trading at ~$0.25. The depeg triggered a second-phase crisis: lending markets (including Morpho and Fluid/Instadapp) using wstUSR as collateral relied on hardcoded oracles that priced it near $1 instead of its real market value. Arbitrageurs bought cheap wstUSR, used it as overvalued collateral to borrow stablecoins, and amplified losses. Fluid absorbed over $10M in bad debt; Morpho had 15 vaults exposed. This incident repeats a known DeFi pattern: similar oracle failures occurred with Usual Protocol (Jan 2025), Stream Finance (Nov 2025), and Moonwell (late 2025), where mispriced collateral led to massive bad debt. Critics highlight flawed incentives in the "curator" model (e.g., Gauntlet), where third-party vault managers prioritize high yields without adequate risk controls, and protocols outsource risk management without enforcing safeguards. The root cause is systemic: over-reliance on static oracles for volatile assets and insecure off-chain infrastructure.

On a quiet Sunday morning, someone turned $100,000 into $25 million in about 17 minutes.

The target was the yield-bearing stablecoin protocol Resolv. Before Resolv paused its contracts, its dollar-pegged stablecoin, USR, had fallen to a few cents. As of this writing, USR remains severely depegged, trading at around $0.25, down more than 70% this week.

The shockwaves extended far beyond Resolv itself. Fluid/Instadapp absorbed over $10 million in bad debt in a single day, experiencing a net outflow of over $300 million on the same day, a record single-day outflow in its history. 15 Morpho vaults were affected. Euler, Venus, Lista DAO, and Inverse Finance all subsequently suspended USR-related markets.

The mechanism that allowed this vulnerability's losses to spread—pricing a depegged stablecoin at $1 in lending markets—is not new. This has happened at least four times in the past 14 months.

How the Vulnerability Worked

USR minting followed a two-step off-chain process: Users deposited USDC via the `requestSwap` function, and a privileged off-chain signing key, `SERVICE_ROLE`, would then finalize the amount of USR to be issued via `completeSwap`.

The contract had a minimum output limit but no maximum limit. The contract executed whatever the key holder signed.

The attacker gained access to this key through Resolv's AWS Key Management Service. They submitted two USDC deposits totaling approximately $100,000 to $200,000, then used the stolen key to authorize the minting of 80 million USR in return. On-chain data shows two transactions of 50 million USR and 30 million USR, both completed within minutes.

"The Resolv USR exploit wasn't a bug—it was a feature operating as designed. That's the problem," said on-chain analyst Vadim (@zacodil).

The SERVICE_ROLE was a regular external owned address (EOA), not a multi-signature wallet. The admin key had multi-sig protection, but the minting key did not.

"Resolv underwent 18 audits," Vadim said, "One of the findings was literally named 'Missing Cap'."

The attacker exited: They first converted the minted USR to wstUSR (a staked wrapped version) to slow the market impact, then swapped it for ETH via Curve, Uniswap, and KyberSwap. The attacker's wallet holds approximately 11,400 ETH (around $24 million). The underlying ETH and BTC collateral pools supporting the entire system remained intact as the stablecoin collapsed.

How the Contagion Spread

The Resolv exploit was effectively two events stacked on top of each other. The first was the minting exploit, the second was the failure of connected lending markets.

When USR and wstUSR crashed, every lending market that accepted them as collateral faced the same problem: their oracles were still pricing wstUSR at close to $1.

Omer Goldberg, founder of risk analysis firm Chaos Labs, documented this mechanism. His key finding: "The oracle was hardcoded, so it never repriced. wstUSR was marked at $1.13, while trading on secondary markets for around $0.63."

Traders bought wstUSR cheaply on the open market, then used it as collateral on Morpho or Fluid at the oracle price of $1.13, borrowing USDC against it and walking away.

At Fluid, the team secured short-term loans to cover 100% of the bad debt and promised to make every user whole. At Morpho, co-founder Paul Frambot stated that about 15 vaults had significant exposure, all in high-risk, long-tail collateral strategies.

Prominent curator Gauntlet stated that "a few high-yield vaults had limited exposure."

But D2 Finance directly countered this, publishing on-chain data showing Gauntlet's flagship "USDC Core Vault" had allocated $4.95 million to the wstUSR/USDC market. Goldberg later stated that Gauntlet vaults constituted 98% of the lender liquidity in that market.

Frambot said in a written response to The Defiant: "We are constantly working on how to present various risks more comprehensively. However, we don't believe the core issue here is a lack of labeling."

Frambot added: "Morpho is oracle-agnostic, meaning it allows curators to choose any oracle they deem most suitable for a specific market. Morpho is open, permissionless infrastructure designed to outsource risk management to curators."

"It's difficult to enforce objectively 'correct' guardrails in all scenarios," Frambot said, "Imposing constraints at the protocol level also risks hindering legitimate strategies."

While the underlying protocol leaves risk management to curators, some in the industry believe the curators are not fulfilling their duty.

"I believe the curator industry is flawed by design because there is no real curation happening," Marc Zeller said on X.

At the time of publication, Resolv, Gauntlet, and Fluid had not responded to The Defiant's requests for comment.

A Recurring Failure Pattern

This is not a new type of attack. In January 2025, Usual Protocol's USD0++ was hardcoded at $1 by curator MEV Capital in a Morpho vault.

Usual then abruptly adjusted its redemption floor price to $0.87 without warning, locking lenders into the MEV Capital vault, whose utilization rate soared to 100%.

In November 2025, Stream Finance's xUSD collapsed after curators had routed USDC deposits into leverage loops backed by the synthetic stablecoin. When its oracle refused to update, an estimated $285 million to $700 million in assets were at risk on Morpho, Euler, and Silo.

Moonwell suffered two consecutive oracle failures in October and November 2025, resulting in over $5 million in bad debt combined.

What This Means for the Curator Model

Morpho's architecture outsources all risk decisions to third-party "curators," who build vaults, select collateral, set loan-to-value ratios, and choose oracles. The theory is that professional firms have deeper expertise, and competition leads to better risk management, with the protocol enforcing the rules.

But curators earn fees based on the yield generated, creating an incentive to accept higher-risk, higher-yielding collateral (like yield-bearing stablecoins). The problem is that when these stablecoins depeg, the losses are borne by the depositors, not the curators.

In the Resolv incident, some curators' automated bots continued pumping funds into the affected vaults for hours after the exploit, deepening the losses.

The reason for using hardcoded oracles for yield-bearing stablecoins is to prevent unnecessary liquidations triggered by short-term volatility. But this protection only works if the stablecoin remains stable.

On-chain analytics firm Chainalysis stated in a post-mortem that real-time on-chain detection capabilities are needed.

"The on-chain smart contracts were functioning perfectly. The issue clearly lay with the broader system design and off-chain infrastructure," the analytics firm said.

Câu hỏi Liên quan

QWhat was the core mechanism that allowed the Resolv exploit to cause widespread contagion across multiple DeFi lending markets?

AThe core mechanism was that the oracles in the lending markets continued to price the depegged stablecoin, wstUSR, at or near its intended $1 peg value, even after it had collapsed in value on the open market. This allowed attackers to buy the cheap stablecoin and use it as overvalued collateral to borrow other assets.

QHow did the attacker initially obtain the ability to mint a massive amount of USR tokens?

AThe attacker gained access to the `SERVICE_ROLE` signing key, which was an external private key (not a multi-sig) used to authorize the `completeSwap` function. This access was obtained through a compromise of Resolv's AWS Key Management Service.

QAccording to the article, this type of vulnerability has occurred at least four times in the past 14 months. Name one other protocols mentioned that suffered from a similar oracle pricing failure.

AThe article mentions that a similar failure occurred with Usual Protocol's USD0++ in January 2025 and with Stream Finance's xUSD in November 2025.

QWhat is the fundamental criticism of the 'curator model' used by protocols like Morpho, as highlighted by the Resolv incident?

AThe fundamental criticism is that the incentives for curators are misaligned. Curators earn fees based on the yield their vaults generate, which incentivizes them to accept higher-risk, higher-yielding collateral (like yield-bearing stablecoins). However, when those assets depeg and cause losses, the losses are borne by the depositors/lenders, not the curators.

QWhat did the post-incident analysis from Chainalysis identify as the root of the problem, rather than a smart contract bug?

AChainalysis stated that the problem was not a smart contract bug, as the contracts were 'functioning exactly as designed.' They identified the root of the problem as 'broader system design and off-chain infrastructure.'

Nội dung Liên quan

Nếu Bạn Đang Chờ Đợi Đáy Bitcoin, Chuyên Gia Này Khuyên Bạn Nên Theo Dõi Quý Này

Bitcoin hiện giao dịch quanh mức 60.000 USD, gần đáy tháng 2, trong khi tâm lý thị trường đang ở trạng thái "sợ hãi cực độ". Chuyên gia Ardi chỉ ra rằng Bitcoin luôn chạm đáy vào quý 4 trong các năm thị trường gấu trước đây, từ năm 2014, 2018 đến 2022. Vì hiện mới là quý 2 năm 2026, ông cho rằng có khả năng giá sẽ còn điều chỉnh thêm. Phân tích này nhận được sự đồng thuận từ nhiều nhà quan sát thị trường khác. Benjamin Cowen, Ali Martinez, Xanrox và CryptoQuant đều dự báo đáy chu kỳ có thể rơi vào khoảng tháng 9 đến tháng 12 năm 2026, dựa trên các mô hình chu kỳ 4 năm, độ dài trung bình của thị trường gấu và các tín hiệu kỹ thuật như MVRV Z-Score. Tại thời điểm viết bài, BTC giao dịng ở mức 62.950 USD, giảm 6,2% trong 24 giờ và đối mặt với nguy cơ mất hỗ trợ 60.000 USD do dòng tiền rút khỏi các ETF Bitcoin tiếp tục gây áp lực.

bitcoinist13 phút trước

Nếu Bạn Đang Chờ Đợi Đáy Bitcoin, Chuyên Gia Này Khuyên Bạn Nên Theo Dõi Quý Này

bitcoinist13 phút trước

Có nên mua cổ phiếu SpaceX trị giá 1,7 nghìn tỷ đô la? Bạn cần biết thị trường đang lo lắng điều gì

SpaceX đang chuẩn bị cho một đợt IPO với mức định giá khoảng 1,75 nghìn tỷ USD, một trong những đợt phát hành lớn nhất trong lịch sử. Tuy nhiên, thị trường đang có nhiều lo ngại. Định giá cao gấp 94 lần doanh thu năm 2025, dù SpaceX sở hữu mạng lưới vệ tinh Starlink sinh lời và công nghệ tên lửa tái sử dụng độc đáo, khiến nhiều nhà đầu tư cho rằng giá trị này đã tính trước phần lớn lợi nhuận từ các dự án tương lai như cơ sở hạ tầng AI, trung tâm dữ liệu quỹ đạo và tàu Starship. Cơ cấu tài chính cho thấy Starlink là nguồn lợi nhuận chính, trong khi bộ phận AI đang thua lỗ nặng và tiêu tốn phần lớn chi tiêu vốn. Việc mua lại xAI càng làm dấy lên lo ngại về các giao dịch liên kết và rủi ro tài chính tiềm ẩn được chuyển vào bảng cân đối của công ty. Cơ cấu quản trị với cổ phiếu đa quyền biểu quyết cho phép Elon Musk duy trì quyền kiểm soát tuyệt đối, hạn chế khả năng ảnh hưởng của cổ đông phổ thông đối với các quyết định rủi ro cao và dài hạn. Tóm lại, thị trường không nghi ngờ thành công trong quá khứ của SpaceX, mà đang cân nhắc mức độ sẵn sàng trả giá cao cho những câu chuyện tăng trưởng tương lai đầy tham vọng, đồng thời phải chiết khấu hợp lý cho các rủi ro về khả năng sinh lời, cấu trúc tài chính và quản trị doanh nghiệp.

marsbit22 phút trước

Có nên mua cổ phiếu SpaceX trị giá 1,7 nghìn tỷ đô la? Bạn cần biết thị trường đang lo lắng điều gì

marsbit22 phút trước

Phá Vỡ Lời Nguyền Thanh Lý Tuần Hoàn Trong DeFi, Vitalik Đề Xuất Giải Pháp Mới

**Tóm tắt: Đề xuất của Vitalik Buterin về một giải pháp thay thế cho cơ chế thanh lý DeFi** Vitalik Buterin đã đề xuất một phương pháp cách mạng để loại bỏ cơ chế thanh lý tự động – vốn là nguyên nhân gây ra hiệu ứng bán tháo dây chuyền trong thị trường DeFi. Thay vì sử dụng cấu trúc cho vay thế chấp truyền thống, phương án mới xây dựng tài sản tổng hợp dựa trên hợp đồng quyền chọn (options). **Vấn đề với cơ chế thanh lý hiện tại:** Khi giá tài sản thế chấp giảm mạnh, hàng loạt vị thế bị buộc thanh lý đồng loạt, tạo ra áp lực bán lớn và làm trầm trọng thêm đà giảm giá ngắn hạn, như đã thấy trong đợt sụt giảm thị trường gần đây. **Giải pháp mới dựa trên quyền chọn:** Một tài sản (ví dụ: ETH) được chia thành hai loại tài sản giống quyền chọn: P (put) và N (call). Giá trị của chúng luôn bằng một ETH. Thay vì thanh lý đột ngột khi vượt ngưỡng, giá trị vị thế của người dùng sẽ "lệch" dần so với mức mục tiêu nếu họ không chủ động tái cân bằng (rebalance) vị thế. Điều này chuyển quyền kiểm soát rủi ro từ hệ thống sang người dùng. **Lợi ích chính:** * **Giảm bán tháo dây chuyền:** Loại bỏ sự kiện thanh lý tập trung và ép buộc. * **Giảm áp lực lên oracle:** Oracle chỉ cần xác định giá khi hợp đồng đáo hạn, thay vì cung cấp giá thời gian thực để kích hoạt thanh lý, giúp tăng cường an toàn và cho phép sử dụng các cơ chế định giá chịu lỗi cao hơn. * **Trao quyền kiểm soát cho người dùng:** Người dùng có thể lựa chọn thời điểm tái cân bằng vị thế phù hợp với chiến lược của họ. **Thách thức và hạn chế:** * **Chi phí giao dịch (trượt giá):** Việc tái cân bằng thường xuyên trên các AMM thông thường có thể tạo ra chi phí giao dịch đáng kể, đặc biệt trong thị trường biến động. * **Giá trị lệch dần:** Không phù hợp cho các stablecoin cần gắn chặt 1:1 với USD để thanh toán hoặc kế toán. * **Phức tạp về trải nghiệm người dùng:** Cần có các công cụ tự động hoá hoặc giao diện được đóng gói sẵn để đơn giản hóa việc quản lý vị thế. * **Cần thanh khoản mới:** Thị trường điều chỉnh cần một loại hình tạo lập thị trường mới, tập trung vào các lệnh chờ một chiều, thụ động. **Kết luận:** Đề xuất này thách thức quan điểm cho rằng thanh lý tự động là một phần không thể tránh khỏi của DeFi. Mặc dù còn nhiều vấn đề cần giải quyết trước khi áp dụng thực tế, nó mở ra một hướng đi mới để thiết kế các hệ thống tài chính phi tập trung linh hoạt và ổn định hơn, giảm thiểu rủi ro hệ thống trong các đợt biến động thị trường.

marsbit27 phút trước

Phá Vỡ Lời Nguyền Thanh Lý Tuần Hoàn Trong DeFi, Vitalik Đề Xuất Giải Pháp Mới

marsbit27 phút trước

Sự Kết Thúc Của Tiền Mã Hóa Yếu Tố Đơn Lẻ

Bài viết thảo luận về sự chuyển dịch trong thế giới tiền mã hóa, từ trạng thái phụ thuộc đơn nhất vào giá Bitcoin sang một giai đoạn mới được thúc đẩy bởi các yếu tố bên ngoài. Nền kinh tế tiền mã hóa đang phân hóa thành hai nhóm: nội sinh (giá trị gắn liền với chu kỳ tiền mã hóa) và ngoại sinh (giá trị độc lập với giá tiền mã hóa, ví dụ như các công ty fintech sử dụng blockchain làm cơ sở hạ tầng). Các tài sản ngoại sinh, như Venice (dịch vụ AI trả phí) hay các công ty stablecoin, có mô hình kinh doanh dựa trên nhu cầu thực tế và cơ sở người dùng ổn định, không bị ảnh hưởng nhiều bởi biến động giá Bitcoin. Sự tăng trưởng của chúng được minh chứng qua các thương vụ M&A lớn (ví dụ: Mastercard mua BVNK). Bài viết chỉ ra rằng việc phân tích các dự án ngoại sinh cần tập trung vào cơ bản doanh nghiệp như khách hàng, kinh tế đơn vị và lợi thế cạnh tranh, thay vì chỉ theo dõi biểu đồ giá Bitcoin. Một số lĩnh vực ngoại sinh đáng chú ý bao gồm: sàn giao dịch trên chuỗi, tín dụng/tài sản thế chấp, AI riêng tư, ngân hàng mới, cho vay, stablecoin, kênh thanh toán, và các sản phẩm tiêu dùng phi tài chính. Tóm lại, ngành công nghiệp đang thoát khỏi trạng thái phụ thuộc vào một yếu tố duy nhất, hướng tới một tương lai đa dạng với các động lực tăng trưởng độc lập.

marsbit27 phút trước

Sự Kết Thúc Của Tiền Mã Hóa Yếu Tố Đơn Lẻ

marsbit27 phút trước

‘Cổ Phiếu Lão Làng’ Biến Thành ‘Quý Tộc Mới’: Từ Dell Đến Nokia, AI Định Giá Lại Cơ Sở Hạ Tầng Cũ Như Thế Nào?

**Tóm tắt: "Cổ phiếu 'lão làng' thành 'quý tộc mới': AI định giá lại cơ sở hạ tầng cũ từ Dell đến Nokia như thế nào?"** Chỉ một năm trước, những công ty công nghệ lâu đời như Dell, Nokia, Cisco, Corning, Western Data dường như đứng ngoài cuộc chơi AI. Thị trường chú trọng vào những cái tên "nóng" như NVIDIA hay các mảng chip, lưu trữ, quang học. Tuy nhiên, gần đây, các "lão làng" này lại thể hiện sức hút mạnh mẽ. Nguyên nhân? AI đang chuyển từ giai đoạn phát triển mô hình sang giai đoạn triển khai thực tế, đòi hỏi xây dựng cơ sở hạ tầng vật lý quy mô lớn. Đây là thời điểm các công ty có năng lực tích hợp hệ thống, kinh nghiệm giao hàng và mạng lưới khách hàng doanh nghiệp vững chắc được định giá lại. Họ sở hữu những "tài sản cũ" nhưng lại đáp ứng "nhu cầu mới" của kỷ nguyên AI. Có ba nhóm chính được định giá lại: 1. **Máy chủ & Tích hợp hệ thống:** Dell và HPE không sản xuất GPU, nhưng họ là những "nhà thầu chính" quan trọng, cung cấp năng lực thiết kế server, chuỗi cung ứng và triển khai trọn gói các cụm AI cho khách hàng. 2. **Mạng & Kết nối:** Cơ sở hạ tầng AI cần mạng lưới siêu tốc. Corning (cáp quang), Nokia (mạng không dây AI-RAN, 6G) và Cisco (thiết bị chuyển mạch trung tâm dữ liệu) trở nên quan trọng khi quy mô tính toán mở rộng và AI di chuyển ra biên mạng. 3. **Lưu trữ & Quản lý dữ liệu:** Ngoài bộ nhớ tốc độ cao (HBM), sự bùng nổ dữ liệu AI (dữ liệu huấn luyện, nhật ký, video, lưu trữ lạnh) làm tăng nhu cầu về ổ cứng dung lượng lớn, giúp các công ty như Western Digital và Seagate được chú ý trở lại. Tuy nhiên, không phải mọi công ty cũ đều được hưởng lợi đồng đều. Một sự "định giá lại thực sự" cần đáp ứng ba tiêu chí: (1) Có đơn hàng và doanh thu AI cụ thể được công bố; (2) Ban lãnh đạo điều chỉnh kỳ vọng tăng trưởng (hướng dẫn) tăng lên; (3) Chất lượng lợi nhuận được cải thiện, không chỉ tăng trưởng doanh thu đơn thuần. Tóm lại, đợt định giá lại này không phải là cơn sốt ngắn hạn hay câu chuyện mơ hồ. Nó phản ánh thực tế rằng khi AI bước vào giai đoạn xây dựng hạ tầng thực tế, các công ty có năng lực triển khai và cung cấp các thành phần cơ sở hạ tầng thiết yếu sẽ tìm thấy vị thế mới. Họ không trở nên trẻ trung hơn, mà những gì họ có lại trở nên cần thiết trong kỷ nguyên mới.

marsbit1 giờ trước

‘Cổ Phiếu Lão Làng’ Biến Thành ‘Quý Tộc Mới’: Từ Dell Đến Nokia, AI Định Giá Lại Cơ Sở Hạ Tầng Cũ Như Thế Nào?

marsbit1 giờ trước

Giao dịch

Giao ngay
Hợp đồng Tương lai

Bài viết Nổi bật

Làm thế nào để Mua RESOLV

Chào mừng bạn đến với HTX.com! Chúng tôi đã làm cho mua Resolv (RESOLV) trở nên đơn giản và thuận tiện. Làm theo hướng dẫn từng bước của chúng tôi để bắt đầu hành trình tiền kỹ thuật số của bạn.Bước 1: Tạo Tài khoản HTX của BạnSử dụng email hoặc số điện thoại của bạn để đăng ký tài khoản miễn phí trên HTX. Trải nghiệm hành trình đăng ký không rắc rối và mở khóa tất cả tính năng. Nhận Tài khoản của tôiBước 2: Truy cập Mua Crypto và Chọn Phương thức Thanh toán của BạnThẻ Tín dụng/Ghi nợ: Sử dụng Visa hoặc Mastercard của bạn để mua Resolv (RESOLV) ngay lập tức.Số dư: Sử dụng tiền từ số dư tài khoản HTX của bạn để giao dịch liền mạch.Bên thứ ba: Chúng tôi đã thêm những phương thức thanh toán phổ biến như Google Pay và Apple Pay để nâng cao sự tiện lợi.P2P: Giao dịch trực tiếp với người dùng khác trên HTX.Thị trường mua bán phi tập trung (OTC): Chúng tôi cung cấp những dịch vụ được thiết kế riêng và tỷ giá hối đoái cạnh tranh cho nhà giao dịch.Bước 3: Lưu trữ Resolv (RESOLV) của BạnSau khi mua Resolv (RESOLV), lưu trữ trong tài khoản HTX của bạn. Ngoài ra, bạn có thể gửi đi nơi khác qua chuyển khoản blockchain hoặc sử dụng để giao dịch những tiền kỹ thuật số khác.Bước 4: Giao dịch Resolv (RESOLV)Giao dịch Resolv (RESOLV) dễ dàng trên thị trường giao ngay của HTX. Chỉ cần truy cập vào tài khoản của bạn, chọn cặp giao dịch, thực hiện giao dịch và theo dõi trong thời gian thực. Chúng tôi cung cấp trải nghiệm thân thiện với người dùng cho cả người mới bắt đầu và người giao dịch dày dạn kinh nghiệm.

Tổng lượt xem 410Xuất bản vào 2025.06.11Cập nhật vào 2026.06.02

Làm thế nào để Mua RESOLV

Thảo luận

Chào mừng đến với Cộng đồng HTX. Tại đây, bạn có thể được thông báo về những phát triển nền tảng mới nhất và có quyền truy cập vào thông tin chuyên sâu về thị trường. Ý kiến ​​của người dùng về giá của RESOLV (RESOLV) được trình bày dưới đây.

活动图片

Danh mục Phổ biếnright-arrow

Thẻ Nổi bậtright-arrow