Resolv đã tạm dừng giao thức sau khi vi phạm khóa riêng tư cho phép kẻ tấn công độc hại đúc khoảng 80 triệu USD USR không có tài sản đảm bảo. Sự kiện này đã kích hoạt mất neo mạnh và làm dấy lên lo ngại về tính toàn vẹn của stablecoin.
Trong một bản cập nhật được chia sẻ, đội ngũ cho biết kẻ tấn công đã truy cập trái phép vào cơ sở hạ tầng và đúc token USR mới mà không có tài sản đảm bảo. Hợp đồng thông minh nhanh chóng bị tạm dừng, và khoảng 9 triệu USR do kẻ tấn công nắm giữ đã bị đốt.
Resolv tuyên bố tài sản đảm bảo cơ bản của họ không bị xâm phạm trực tiếp. Ngoài ra, tổn thất được xác nhận duy nhất cho đến nay là khoảng 0,5 triệu USD từ các giao dịch mua lại được xử lý trước khi tạm dừng.
Lỗ hổng làm bơm cung USR thay vì rút ròng tiền
Khác với các lỗ hổng DeFi thông thường làm rút cạn tiền của giao thức, sự cố Resolv tập trung vào việc bơm cung.
Trước sự cố, khoảng 102 triệu USR đang được lưu hành. Sau khi khai thác lỗ hổng, thêm ~71 triệu USR đã được đúc mà không có tài sản đảm bảo. Điều này thực chất đã làm loãng giá trị đảm bảo của stablecoin.
Việc này đẩy tổng cung vượt xa giá trị tài sản của giao thức, làm thay đổi mối quan hệ giữa cung và tài sản đảm bảo.
Đội ngũ cho biết lỗ hổng là do khóa riêng tư bị xâm phạm liên quan đến quyền truy cập cơ sở hạ tầng, chứ không phải do lỗi của hệ thống tài sản đảm bảo cơ bản.
Giả định thiết kế bị phơi bày trong quy trình đúc
Trong khi Resolv quy nguyên nhân vi phạm là do truy cập trái phép, sự cố này đã thu hút sự chú ý đến cách cấu trúc quyền hạn đúc.
Lỗ hổng có thể xảy ra vì một vai trò đặc quyền có thể cho phép phát hành token mà không có xác thực đầy đủ trên chuỗi về tài sản đảm bảo.
Điều này có nghĩa là một khi quyền truy cập bị chiếm đoạt, một lượng lớn USR có thể được đúc mà không cần kiểm tra ràng buộc với tài sản đã ký gửi.
Kiến trúc như vậy phụ thuộc vào các biện pháp kiểm soát ngoài chuỗi đáng tin cậy để thực thi giới hạn — một giả định có thể sụp đổ nếu các biện pháp kiểm soát đó bị xâm phạm.
USR mất neo khi niềm tin thị trường sụt giảm
Phản ứng thị trường trước lỗ hổng diễn ra nhanh chóng, khiến USR mất neo so với đô la.
Tại thời điểm viết bài, USR đang giao dịch gần 0,19 USD, giảm hơn 56% trong 24 giờ, theo dữ liệu từ CoinMarketCap. Mức giảm mạnh phản ánh việc định giá lại token khi cung vượt quá cơ sở tài sản đảm bảo.
Hoạt động giao dịch cũng suy yếu đáng kể, với khối lượng giảm khi người dùng thoát vị thế hoặc tránh tiếp xúc trong quá trình phục hồi.
Nỗ lực phục hồi đang được tiến hành khi kế hoạch mua lại được lập
Resolv cho biết họ đang chuẩn bị kích hoạt tính năng mua lại cho những người nắm giữ USR trước sự cố, bắt đầu với những người dùng trong danh sách cho phép.
Giao thức hiện đang nắm giữ khoảng 141 triệu USD tài sản, và đội ngũ đang làm việc với các đối tác, công ty phân tích và cơ quan thực thi pháp luật để truy tìm và ngăn chặn các token được đúc trái phép.
Người dùng được khuyến cáo không giao dịch USR hoặc các tài sản liên quan trong giai đoạn phục hồi. Hoạt động sau khai thác lỗ hổng có thể ảnh hưởng đến kết quả của quá trình.
Tính toàn vẹn của stablecoin bị giám sát chặt chẽ
Sự cố này làm nổi bật rủi ro rộng hơn trong các hệ thống DeFi, nơi các biện pháp bảo vệ quan trọng phụ thuộc vào kiểm soát ngoài chuỗi thay vì giới hạn được thực thi trên chuỗi.
Mặc dù nhóm tài sản đảm bảo của Resolv vẫn nguyên vẹn, khả năng đúc token không được đảm bảo đã làm suy yếu niềm tin vào hệ thống kế toán.
Khi tình hình diễn biến, thách thức chính sẽ là khôi phục niềm tin vào giá trị đảm bảo của USR và ổn định nguồn cung của nó.
Tóm tắt cuối cùng
- Lỗ hổng Resolv làm bơm cung USR thêm 80 triệu USD mà không rút cạn tài sản đảm bảo, phơi bày rủi ro liên quan đến cơ chế kiểm soát ngoài chuỗi.
- Việc mất neo mạnh của USR phản ánh sự mất niềm tin của thị trường, và việc phục hồi hiện phụ thuộc vào việc cách ly nguồn cung bất hợp pháp và khôi phục tính toàn vẹn của giá trị đảm bảo.
