Memperbaiki Kerugian Eksploit Caps sebesar $34 Juta dengan Pembaruan Kontrak untuk Menghancurkan Token Hacker

Resolv Labs melakukan upgrade kontrak on-chain pada 6 April 2026 untuk secara permanen membakar 36,73 juta token wstUSR dan stUSR yang berada di bawah kendali seorang penyerang, membatasi perkiraan kerugian bersih protokol dari exploit 22 Maret menjadi sekitar $34 juta.

Penyerang tersebut menggunakan kunci privat yang dibobol yang dihosting di AWS untuk mencetak 80 juta token USR tanpa jaminan dengan hanya $100.000 hingga $200.000 sebagai jaminan, menukar 34 juta USR menjadi 11.409 ETH (senilai sekitar $24,5 juta) sebelum likuiditas habis, sementara token sisanya dibakar oleh upgrade protokol.

Resolv Menggunakan Upgrade Kontrak untuk Menghancurkan Token Peretas

Transaksi upgrade, yang dikonfirmasi on-chain, pertama-tama melepas pembungkus (unwrap) stUSR menjadi USR sebelum mengirim keduanya ke alamat nol, sehingga token tidak dapat diambil lagi oleh siapa pun, termasuk peretas. Resolv sebelumnya menjeda protokol dan menawarkan bounty white-hat 10%, tetapi peretas tidak menunjukkan minat pada penyelesaian damai, mendorong tim untuk menggunakan kewenangan upgrade guna menghancurkan token yang tersisa.

Eksploit terjadi pada 22 Maret 2026, ketika seorang penyerang menggunakan satu kunci privat yang dibobol yang dihosting AWS dan mengendalikan SERVICE_ROLE untuk menyetujui dua mint besar. Protokol menerbitkan 80 juta token USR tanpa jaminan meskipun penyerang hanya menyetor $100.000 hingga $200.000 dalam USDC sebagai jaminan. Peretas dengan cepat menukar 34 juta USR menjadi 11.409 ETH, sekitar $24,5 juta pada saat itu, sebelum likuiditas digunakan. Token yang tersisa mengendap di dompet pelaku, sebagian besar dibungkus sebagai wstUSR.

Depeg yang dihasilkan dari tindakan peretas menyebabkan USR jatuh serendah $0,025 di Curve. Upgrade kontrak Resolv telah dikritik di masa lalu sebagai risiko sentralisasi, serupa dengan tuas (levers) yang dipertimbangkan oleh proyek lain seperti Flow, tetapi langkah tersebut berhasil membatasi total perkiraan kerugian protokol menjadi sekitar $34 juta.

Protokol DeFi Mengalami Dampak Lebar dari Eksploit Resolv

Protokol DeFi yang memiliki eksposur terhadap vault milik Resolv terdampak dalam “blast radius”. Vault Morpho menelan jutaan dalam utang buruk, memicu arus keluar besar-besaran. Trading Strategy, sebuah platform analitik DeFi, mencatat bahwa banyak vault menjadi tidak likuid akibat kompromi kunci privat Resolv, dengan jaminan berubah menjadi tidak bernilai dalam semalam. Beberapa vault Morpho tiba-tiba menampilkan imbal hasil tinggi, tetapi vault-vault tersebut tidak likuid, dan depositor kecil kemungkinan dapat menarik dana.

Kurator yang baik mencegah setoran baru dengan menetapkan setoran maksimum menjadi nol, tetapi standar vault tidak memiliki flag terpisah untuk “vault rusak”, hanya “kapasitas maksimum tercapai.” Trading Strategy melakukan blacklist manual terhadap vault-vault yang bermasalah, tetapi prosesnya memakan waktu.

Pola Peretasan DeFi Skala Lebih Luas Berlanjut dengan Drift dan Balancer

Eksploit Resolv menambah pola suram peretasan DeFi berskala besar. Hanya beberapa minggu sebelum Resolv, Balancer Labs, entitas berorientasi laba di balik automated market maker perintis, mengumumkan bahwa pihaknya menutup operasinya setelah kehilangan $128 juta dalam serangan pada November 2025. CEO Balancer mengutip dampak hukum yang berkelanjutan dan beban finansial dari peretasan tersebut, yang menguras kumpulan likuiditas melalui interaksi vault yang dimanipulasi. Balancer DAO dan protokol tetap hidup, tetapi perusahaan pengembangan inti telah berakhir secara efektif.

Awal April 2026 dimulai dengan Drift Protocol melaporkan kerugian $285 juta pada 1 April, terkait dengan peretas yang disponsori negara Korea Utara. Bagi Resolv, menyajikan angka kerugian akhir sebesar $34 juta memberikan baseline yang jelas untuk pemulihan, membeli waktu bagi protokol yang tidak dinikmati Balancer. Operasi tetap dijeda.

FAQ

Bagaimana exploit Resolv terjadi?

Seorang penyerang membobol satu kunci privat yang dihosting AWS yang mengendalikan SERVICE_ROLE, memungkinkan mereka mencetak 80 juta token USR tanpa jaminan hanya dengan $100.000–$200.000 sebagai jaminan. Mereka menukar 34 juta USR menjadi 11.409 ETH (≈$24,5 juta) sebelum likuiditas habis. Resolv kemudian membakar 36,73 juta token yang tersisa melalui upgrade kontrak.

Berapa kerugian estimasi akhir untuk Resolv?

Kerugian bersih Resolv kira-kira $34 juta. Penyerang mengekstraksi sekitar $24,5 juta dalam ETH, dan upgrade protokol mencegah kerugian lebih lanjut dengan menghancurkan token sisa yang dipegang peretas.

Protokol DeFi lain apa yang terpengaruh oleh peretasan terbaru?

Balancer Labs menutup operasinya setelah peretasan $128 juta pada November 2025, dan Drift Protocol mengalami exploit $285 juta pada 1 April 2026. Vault Morpho juga menyerap utang buruk dari insiden Resolv, menjadi tidak likuid dan menyebabkan arus keluar besar-besaran.