Resolv Labs đốt 36,7 triệu USR bị tấn công sau khi một sự thỏa hiệp khóa cho phép kẻ tấn công đúc 80 triệu token không được đảm bảo và thu về 24,5 triệu USD giá trị ETH, để lại một lỗ hổng 34 triệu USD trong giao thức.
Resolv Labs đã hủy 36,73 triệu stablecoin USR trước đây do một kẻ tấn công kiểm soát, sử dụng nâng cấp hợp đồng để thu hồi một phần số tiền đã bị lấy đi từ một vụ khai thác vào tháng 3 đã in ra 80 triệu token không được đảm bảo và khiến giao thức phải chịu khoản lỗ ước tính 34 triệu USD. Theo nhà phân tích on-chain Yu Jin, "khoảng 1 giờ trước, Resolv Labs đã hủy 36,73 triệu USR do hacker nắm giữ thông qua một bản nâng cấp hợp đồng", sau khi kẻ khai thác đã thanh lý khoảng 34 triệu USR để đổi lấy 11.409 ETH (khoảng 24,48 triệu USD) hiện đang nằm tại địa chỉ 0x8ED…81C. Tổng cộng, đội ngũ của Resolv đã loại bỏ khoảng 46 triệu USR khỏi địa chỉ của kẻ tấn công, nhưng giá trị đã được rút ra bằng ETH khiến giao thức phải đối mặt với một cú sốc kinh tế thực sự khoảng 34 triệu USD.
Sự cố này xuất phát từ một lỗi nghiêm trọng trong quy trình đúc token USR của Resolv, cho phép một kẻ tấn công duy nhất, sử dụng chưa đến 200.000 USD tài sản thế chấp ban đầu, tạo ra 80 triệu USR không có tài sản thế chấp và bán tháo chúng trên các bể thanh khoản DeFi. Chainalysis mô tả đây là một trường hợp "một kẻ tấn công đã có thể đúc hàng chục triệu stablecoin không được đảm bảo (USR) của Resolv và rút khoảng 23 triệu USD giá trị", làm nổi bật cách một khóa dịch vụ bị xâm phạm trong quy trình đúc off-chain hai bước có thể dẫn đến những tổn thất mang tính hệ thống. Trong tin tức trước đó, crypto.news đã đưa tin rằng USR "mất chốt giá sau khi một kẻ tấn công đúc hàng triệu token không được đảm bảo", buộc Resolv Labs phải tạm dừng hoạt động và triển khai kế hoạch phục hồi khi stablecoin này sụp đổ xuống mức thấp 0,14 USD trước khi phục hồi một phần.
Vụ khai thác USR đã trở thành một nghiên cứu điển hình về rủi ro quản lý khóa trong DeFi, được so sánh với các thất bại stablecoin gần đây khác và sự lây lan trong thị trường cho vay. Trong bản phân tích sau sự cố, Resolv Labs nhấn mạnh rằng quỹ tài sản thế chấp của họ "vẫn còn nguyên vẹn" bất chấp việc đúc 80 triệu USR do khai thác, ngay cả khi các nhà cung cấp thanh khoản và người dùng có đòn bẩy trên các giao thức tích hợp phải chịu sự trượt giá và thanh lý bắt buộc. Phân tích trước đó về sự sụp đổ cho thấy USR tại một thời điểm giao dịch gần 0,23–0,27 USD, với các công ty dữ liệu on-chain ước tính lợi nhuận của kẻ tấn công nằm trong khoảng từ 23 triệu đến 25 triệu USD khi token này mất chốt giá trên Curve và các bể khác.
Việc đốt một phần 36,73 triệu USR thông qua nâng cấp hợp đồng nhấn mạnh cách các quyền kiểm soát đặc quyền có thể vừa tạo điều kiện vừa giảm thiểu các thất bại thảm khốc trong các hệ thống được gọi là phi tập trung. Đối với các nhà giao dịch đang theo dõi Resolv và token quản trị RESOLV của nó, vốn trước đây đã chứng kiến những biến động mạnh sau khi niêm yết trên sàn giao dịch và mua lại, sự cố này làm dấy lên những câu hỏi đã tồn tại lâu về việc liệu các stablecoin sinh lợi có thể mở rộng quy mô mà không tạo ra các điểm lỗi duy nhất hay không. Như crypto.news đã lưu ý trong một câu chuyện trước đó về việc USR mất chốt giá, các giao thức DeFi với stablecoin có khả năng kết hợp hiện phải đối mặt với áp lực mới để củng cố logic đúc token, xoay vòng khóa và xử lý cơ sở hạ tầng backend với sự nghiêm ngặt tương tự như các hợp đồng thông minh đã được kiểm toán.
