Vào lúc 2 giờ 21 phút sáng Chủ nhật theo giờ phối hợp quốc tế (UTC), các hacker đã lợi dụng lỗ hổng kiểm soát truy cập trong hợp đồng đúc USR của giao thức stablecoin Resolv để tạo ra hơn 80 triệu mã USR bằng khoảng 200.000 USD USDC, sau đó dùng sàn giao dịch để trộm khoảng 25 triệu USD. Ngay lập tức, USR trên Curve Finance đã sụp đổ xuống còn 0,025 USD.
Cơ chế tấn công: cách hợp đồng đúc bị lợi dụng
(nguồn: Etherscan)
Tài khoản X, YieldsAndMore, là người ghi nhận sớm nhất các giao dịch bất thường này: hacker gửi vào hợp đồng USR Counter của Resolv 100.000 USDC, nhưng nhận về 50 triệu USR, gấp khoảng 500 lần số lượng bình thường; sau đó, qua giao dịch thứ hai, hacker đúc thêm 30 triệu USR, tổng cộng khoảng 80 triệu mã.
Nhà phân tích blockchain Andrew Hong cho rằng nguyên nhân của lỗ hổng nằm ở vai trò đặc quyền SERVICE_ROLE của giao thức. Vai trò này dùng để thực hiện các yêu cầu đổi token, nhưng chỉ do các tài khoản ngoại (EOA) kiểm soát, chứ không phải hệ thống đa chữ ký an toàn hơn. Thêm vào đó, hợp đồng đúc hoàn toàn thiếu các kiểm tra giá từ oracle, giới hạn số lượng, và hạn mức đúc token.
Quỹ DeFi D2 Finance đề xuất ba khả năng tấn công: oracle bị chỉnh sửa, ký dưới ngoài chuỗi bị xâm phạm, hoặc thiếu xác thực số lượng giữa yêu cầu đúc và hoàn tất.
Tác động thị trường: hiệu ứng mất peg lan rộng sang hệ sinh thái vay DeFi
(nguồn: Trading View)
Sau 17 phút kể từ khi đúc token, USR trên pool thanh khoản của Curve Finance đã sụp còn 0,025 USD, rồi hồi phục lên khoảng 0,85 USD, nhưng vẫn chưa hoàn toàn lấy lại được peg. Địa chỉ chính của hacker (bắt đầu bằng 0x04A2) cuối cùng nắm giữ 11.409 mã ETH, trị giá khoảng 23,7 triệu USD; một địa chỉ liên quan khác nắm giữ khoảng 1,1 triệu USD token wstUSR.
Hiệu ứng dây chuyền của việc USR mất peg
Thanh khoản các nền tảng vay bị tổn thất: USR và wstUSR được các nền tảng như Morpho và Gauntlet chấp nhận làm tài sản thế chấp. Sau khi mất peg, một số nhà đầu cơ đã mua USR với giá chiết khấu và cho vay USDC theo mệnh giá, làm cạn kiệt thanh khoản của các kho chứa.
Giao thức bảo hiểm RLP bị áp lực: Như một cơ chế hấp thụ thiệt hại, pool thanh khoản của Resolv (RLP) trước tấn công có khoảng 38,6 triệu USD vốn lưu động. Người nắm giữ lớn nhất, Stream Finance, đang nắm giữ 13,6 triệu RLP trong Morpho, với mức rủi ro ròng khoảng 17 triệu USD.
Giá token quản trị RESOLV giảm: Ảnh hưởng của sự kiện khiến RESOLV giảm khoảng 8,5% trong 24 giờ.
Dù Resolv Labs tuyên bố rằng các pool thế chấp “hoàn toàn nguyên vẹn”, các nhà phân tích on-chain cho rằng, bản chất của vụ tấn công này là do cung tiền tăng đột biến chứ không phải trộm trực tiếp tài sản thế chấp. 80 triệu mã token mới đã làm loãng lượng lưu hành hiện tại, hành vi bán tháo của hacker đã phá hỏng tính thanh khoản, và người dùng nắm giữ USR trong thời gian đó đã chịu thiệt hại thực tế.
Hạn chế của kiểm toán an ninh và sự phối hợp chính sách quản lý
CEO Cyvers, Deddy Lavid, nói rằng: “Chỉ dựa vào kiểm toán là không đủ, nếu không theo dõi đúc và cung theo thời gian thực, thì vào những thời điểm quan trọng, chúng ta như bị mù.” Trang web của Resolv tuyên bố đã hoàn tất 14 cuộc kiểm toán của 5 tổ chức và thiết lập chương trình thưởng lỗi Immunefi trị giá 500.000 USD.
Thời điểm xảy ra vụ việc rất nhạy cảm. Các cơ quan lập pháp Mỹ đang tích cực thúc đẩy quy định về stablecoin sinh lợi dựa trên Đạo luật GENIUS. Nhiều thượng nghị sĩ chủ chốt đã đạt thỏa thuận nguyên tắc về cách xử lý lợi nhuận stablecoin trước ngày xảy ra tấn công. Ngoài ra, theo báo cáo mới nhất của Immunefi, trung bình thiệt hại trong các vụ tấn công tiền mã hóa năm 2026 là khoảng 25 triệu USD, số tiền của vụ này phù hợp với mức trung bình ngành.
Các câu hỏi thường gặp
USR là loại stablecoin nào, tại sao lại mất peg?
USR là stablecoin USD gắn liền do Resolv Labs phát hành, sử dụng chiến lược delta-neutral hedge, dựa trên ETH và BTC làm nền tảng hỗ trợ. Việc mất peg lần này không phải do thiếu tài sản thế chấp, mà do hacker lợi dụng lỗ hổng đúc để tạo ra lượng lớn mã không có tài sản thế chấp rồi bán tháo tập trung, khiến pool thanh khoản chính sụp đổ ngay lập tức.
Lỗ hổng kỹ thuật chính của vụ tấn công này là gì?
Lỗ hổng nằm ở chỗ tài khoản đặc quyền SERVICE_ROLE do EOA kiểm soát, hợp đồng đúc thiếu kiểm tra giá oracle, giới hạn số lượng và hạn mức đúc token. Điều này cho phép hacker chỉ với khoảng 200.000 USD USDC, có thể đúc ra lượng USR gấp 500 lần bình thường.
Người nắm giữ USR sẽ đối mặt với rủi ro thiệt hại thực tế nào?
Hacker bán tháo lượng USR không có tài sản thế chấp, phá hỏng tính thanh khoản ngay lập tức. Người dùng nắm giữ USR trong thời gian tấn công phải chịu thiệt hại về giá trị thị trường tức thì. Ngoài ra, wstUSR còn được dùng làm tài sản thế chấp trong nhiều nền tảng vay DeFi, và hiệu ứng mất peg này còn ảnh hưởng đến cấu trúc thanh khoản của các kho chứa liên quan.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Các bài đăng về 'XRP' của Solana và Ripple nêu bật việc tích hợp $100M Wrapped XRP
Bài đăng gần đây của Solana về "XRP" đã dẫn đến phản hồi của Ripple, ảnh hưởng đến giá của XRP. Điều này diễn ra trong bối cảnh ra mắt XRP được bọc (wrapped XRP) trên Solana thông qua Hex Trust và LayerZero, thu hút lượng thanh khoản đáng kể, qua đó nêu bật sự hợp tác đang phát triển trong lĩnh vực crypto.
GateNews21phút trước
OORT(Oort)tăng mạnh 49,67% trong 24 giờ
Tin tức Gate News, ngày 16 tháng 4, theo dữ liệu thị trường của Gate, tính đến thời điểm phát hành, OORT (Oort) hiện giao dịch ở mức 0.01195 USD, trong 24 giờ qua tăng 49.67%, đạt mức cao nhất 0.015 USD, mức thấp nhất quay về 0.00792 USD, và hiện có giá trị vốn hóa thị trường khoảng 889.26 triệu USD.
OORT là một cơ sở hạ tầng AI phi tập trung, có thể bảo vệ quyền riêng tư dữ liệu và tiết kiệm chi phí. Bằng cách tích hợp các nguồn tài nguyên tính toán và lưu trữ trên toàn cầu, OORT có thể hỗ trợ các ứng dụng AI đáng tin cậy. OORT DataHub là một nền tảng đám mây phi tập trung, nơi người dùng có thể thu thập và xử lý trước các dữ liệu bao gồm hình ảnh, âm thanh hoặc video để cải thiện các mô hình trí tuệ nhân tạo và máy học. Người dùng có thể kiếm token OORT bằng cách hoàn thành các tác vụ vi mô, xác minh dữ liệu và mời bạn bè, v.v.
GateNews3giờ trước
XRP Tăng 4% khi quan hệ đối tác của Ripple và dòng tiền vào ETF thúc đẩy sự phục hồi
XRP đã tăng 4% lên 1,41 USD, được thúc đẩy bởi quan hệ hợp tác của Ripple với Kyobo Life và sự gia tăng quan tâm từ các tổ chức. Các đợt tăng chung của thị trường và sự tương tác tích cực từ cộng đồng cũng góp phần vào đà tăng, dù XRP vẫn thấp hơn 63% so với đỉnh trước đó. Mức hỗ trợ then chốt ở mức 1,38 USD.
GateNews3giờ trước
Bitcoin giảm xuống dưới 73.000 USD khi các nhà nắm giữ dài hạn chốt lời và dòng tiền vào ETF chậm lại
Bitcoin giảm xuống dưới $73,000, mức thấp nhất trong hơn ba tuần, khi các nhà đầu tư nắm giữ dài hạn chốt lời và nhu cầu từ các quỹ ETF giao ngay suy yếu. Điều này đã kích hoạt các đợt thanh lý đáng kể trong thị trường phái sinh, khiến tổng vốn hóa thị trường tiền mã hóa giảm 4%.
GateNews4giờ trước
Cảnh báo Tăng giá TradFi: COTTON (Cotton) Tăng hơn 4%
Tin tức Gate: Theo dữ liệu Gate TradFi mới nhất, COTTON (Cotton) đã tăng vọt 4% trong thời gian ngắn. Mức độ biến động hiện tại cao hơn đáng kể so với mức trung bình gần đây, cho thấy hoạt động thị trường đang gia tăng.
GateNews4giờ trước
KT (KingdomX) tăng vọt 73,93% trong 24 giờ
Tin tức Gate, ngày 16 tháng 4. Theo dữ liệu thị trường của Gate, tính đến thời điểm đăng bài, KT (KingdomX) hiện đang ở mức 0.00056 USD, tăng 73.93% trong 24 giờ qua. Mức cao nhất chạm 0.00063 USD, mức thấp nhất quay về 0.00029 USD. Vốn hóa hiện tại vào khoảng 206.000 USD.
KingdomX là một game nhập vai chuỗi Metaverse thời trung cổ, trò chơi cốt lõi được thiết kế xoay quanh giao thức NFT. Người dùng có thể thu thập anh hùng trong game, hoàn thành nhiệm vụ, tham gia các sự kiện, tham chiến và xây dựng vương quốc trò chơi của riêng mình thông qua các hoạt động xã hội và kiến thiết lãnh địa. Toàn bộ hệ sinh thái trong game được thiết kế xoay quanh giao thức GameFi; vừa nâng cao tính vui chơi của game, vừa bảo toàn tài sản trong game, để bất kỳ người dùng nào cũng có thể nhận được lợi ích thông qua trò chơi, kiếm Token hoặc phần thưởng. Kingdom
GateNews4giờ trước
