Tác giả: Eric, Foresight News
Vào khoảng 10:21 sáng nay (giờ Bắc Kinh), Resolv Labs, nền tảng phát hành stablecoin USR sử dụng chiến lược Delta neutral, đã bị tin tặc tấn công. Địa chỉ bắt đầu bằng 0x04A2 đã dùng 100 nghìn USDC để đúc ra 50 triệu USR từ giao thức Resolv Labs.
Sau khi sự việc được phơi bày, USR đã giảm mạnh xuống khoảng 0,25 USD, và tại thời điểm viết bài đã phục hồi lên khoảng 0,8 USD. Giá token RESOLV cũng giảm gần 10% trong thời gian ngắn.
Sau đó, tin tặc lặp lại thủ thuật, dùng thêm 100 nghìn USDC để đúc thêm 30 triệu USR. Với việc USR mất neo nghiêm trọng, các nhà giao dịch arbitrage cũng nhanh chóng hành động. Nhiều thị trường cho vay trên Morpho hỗ trợ USR, wstUSR làm tài sản thế chấp gần như đã bị rút sạch. Lista DAO trên BNB Chain cũng đã tạm dừng các yêu cầu vay mới.
Ảnh hưởng không chỉ dừng lại ở các giao thức cho vay này. Trong thiết kế giao thức của Resolv Labs, người dùng còn có thể đúc token RLP, một loại token có biến động giá lớn hơn và lợi nhuận cao hơn, nhưng phải chịu trách nhiệm bồi thường khi giao thức chịu tổn thất. Hiện tại, lượng token RLP lưu hành là gần 30 triệu token, với holder lớn nhất là Stream Finance nắm giữ hơn 13 triệu RLP, với mức rủi ro ròng khoảng 17 triệu USD.
Đúng vậy, Stream Finance, từng bị ảnh hưởng nặng bởi sự cố xUSD trước đây, có thể sẽ lại bị một đòn nữa.
Tại thời điểm viết bài, tin tặc đã chuyển đổi USR thành USDC và USDT, và liên tục mua Ethereum, hiện đã mua hơn 10 nghìn ETH. Với 200 nghìn USDC, tin tặc đã thu về hơn 20 triệu USD tài sản, tìm thấy "coin trăm lần" của mình trong thời kỳ thị trường giá xuống.
Lại một lần nữa bị lợi dụng vì "thiếu chặt chẽ"
Đợt giảm giá mạnh vào ngày 11 tháng 10 năm ngoái đã khiến nhiều stablecoin sử dụng chiến lược Delta neutral phải chịu tổn thất tài sản thế chấp do ADL (Automatic Deleveraging - Giảm đòn bẩy tự động). Một số dự án sử dụng altcoin làm tài sản thực thi chiến lược thiệt hại còn nặng nề hơn, thậm chí bỏ trốn.
Resolv Labs bị tấn công lần này cũng sử dụng cơ chế tương tự để phát hành USR. Dự án này đã từng công bố vào tháng 4 năm 2025 về việc hoàn thành vòng gọi vốn hạt giống 10 triệu USD do Cyber.Fund và Maven11 dẫn đầu, với sự tham gia của Coinbase Ventures, và đã ra mắt token RESOLV vào cuối tháng 5 đầu tháng 6.
Tuy nhiên, nguyên nhân Resolv Labs bị tấn công không phải do thị trường biến động cực đoan, mà là do cơ chế thiết kế đúc USR "không đủ chặt chẽ".
Hiện chưa có công ty bảo mật nào hoặc phía chính thức phân tích nguyên nhân của vụ tin tặc này. Cộng đồng DeFi YAM thông qua phân tích đã đưa ra kết luận ban đầu: Cuộc tấn công rất có thể là do SERVICE_ROLE, được sử dụng ở backend của giao thức để cung cấp tham số cho hợp đồng đúc, đã bị tin tặc kiểm soát.
Theo phân tích của Grok, khi người dùng đúc USR, một yêu cầu sẽ được khởi tạo trên chain và gọi hàm requestMint của hợp đồng, các tham số bao gồm:
_depositTokenAddress: địa chỉ token gửi vào;
_amount: số lượng gửi vào;
_minMintAmount: số lượng USR tối thiểu mong muốn nhận được (chống trượt giá).
Sau đó, người dùng gửi USDC hoặc USDT vào hợp đồng, backend của đội dự án SERVICE_ROLE giám sát yêu cầu, sử dụng oracle Pyth để kiểm tra giá trị tài sản gửi vào, sau đó gọi hàm completeMint hoặc completeSwap để quyết định số lượng USR thực tế được đúc.
Vấn đề nằm ở chỗ, hợp đồng đúc hoàn toàn tin tưởng vào _mintAmount do SERVICE_ROLE cung cấp, cho rằng con số này đã được xác minh off-chain bởi Pyth, vì vậy không đặt giới hạn trên, cũng không có xác minh oracle trên chain, mà trực tiếp thực thi mint(_mintAmount).
Dựa trên điều này, YAM nghi ngờ tin tặc đã kiểm soát SERVICE_ROLE vốn phải được đội dự án kiểm soát (có thể do oracle nội bộ mất kiểm soát, tự đạo hoặc khóa bị đánh cắp), trong quá trình đúc đã trực tiếp đặt _mintAmount thành 50 triệu, thực hiện thành công vụ tấn công dùng 100 nghìn USDC để đúc 50 triệu USR.
Suy cho cùng, kết luận mà Grok đưa ra là Resolv khi thiết kế giao thức đã không tính đến khả năng địa chỉ (hoặc hợp đồng) dùng để nhận yêu cầu đúc của người dùng có thể bị tin tặc kiểm soát. Khi yêu cầu đúc USR được gửi đến hợp đồng đúc cuối cùng, không thiết lập số lượng đúc tối đa, cũng không để hợp đồng đúc sử dụng oracle trên chain để xác minh lần hai, mà trực tiếp tin tưởng vào tất cả các tham số do SERVICE_ROLE cung cấp.
Công tác phòng ngừa cũng không đầy đủ
Ngoài việc suy đoán nguyên nhân bị hack, YAM cũng chỉ ra sự chuẩn bị không đầy đủ của đội dự án trong việc ứng phó khủng hoảng.
YAM cho biết trên X rằng Resolv Labs đã mất 3 giờ sau khi tin tặc hoàn thành cuộc tấn công đầu tiên mới tạm dừng giao thức, trong đó có khoảng 1 giờ chậm trễ là do thu thập 4 chữ ký cần thiết cho giao dịch multi-sig. YAM cho rằng, việc tạm dừng khẩn cấp chỉ nên cần một chữ ký và quyền hạn nên được phân bổ càng nhiều càng tốt cho các thành viên trong nhóm, hoặc nhân viên vận hành bên ngoài đáng tin cậy, để tăng cường sự chú ý đến các hành vi bất thường trên chain, nâng cao khả năng tạm dừng nhanh chóng và bao phủ tốt hơn các múi giờ khác nhau.
Mặc dù đề xuất chỉ cần một chữ ký để tạm dừng giao thức có phần cực đoan, nhưng việc cần nhiều chữ ký từ các múi giờ khác nhau để tạm dừng giao thức chắc chắn có thể gây trở ngại lớn khi tình huống khẩn cấp xảy ra. Việc đưa vào bên thứ ba đáng tin cậy, liên tục giám sát hành vi trên chain, hoặc sử dụng các công cụ giám sát có quyền tạm dừng khẩn cấp giao thức, đều là những "bài học kinh nghiệm" từ sự kiện này.
Các cuộc tấn công của tin tặc vào giao thức DeFi từ lâu đã không còn giới hạn ở lỗ hổng hợp đồng. Sự kiện của Resolv Labs cảnh báo cho các đội dự án rằng: Giả định về bảo mật giao thức phải là không thể tin tưởng bất kỳ khâu nào trong đó, tất cả các khâu liên quan đến tham số đều phải được xác minh ít nhất hai lần, ngay cả backend do chính đội dự án vận hành cũng không ngoại lệ.
