Resolv Labs ได้ดำเนินการอัปเกรดสัญญาแบบออนเชนเมื่อวันที่ 6 เมษายน 2026 เพื่อเผาทำลายอย่างถาวรโทเค็น wstUSR และ stUSR จำนวน 36.73 ล้านรายการ ซึ่งอยู่ภายใต้การควบคุมของผู้โจมตี โดยการดำเนินการนี้ทำให้การประเมินความสูญเสียสุทธิของโปรโตคอลจากเหตุเอ็กซ์พลอยต์เมื่อวันที่ 22 มีนาคม ลดลงเหลือประมาณ $34 ล้าน
ผู้โจมตีได้ใช้คีย์ส่วนตัวที่ถูกบุกรุกซึ่งโฮสต์บน AWS เพื่อสร้างโทเค็น USR ที่ไม่ได้รับการหนุนหลังจำนวน 80 ล้านโทเค็น โดยมีเพียง $100,000 ถึง $200,000 เป็นหลักประกัน จากนั้นได้แลก 34 ล้าน USR เป็น 11,409 ETH (มีมูลค่าประมาณ $24.5 ล้าน) ก่อนที่สภาพคล่องจะหมดลง ขณะที่โทเค็นที่เหลรถูกเผาทำลายโดยการอัปเกรดของโปรโตคอล
Resolv ใช้อัปเกรดสัญญาเพื่อทำลายโทเค็นของแฮ็กเกอร์
ธุรกรรมอัปเกรดซึ่งได้รับการยืนยันบนเชนได้แกะห่อ stUSR เป็น USR ก่อน จากนั้นจึงส่งทั้งสองรายการไปยังที่อยู่ศูนย์ ทำให้โทเค็นไม่สามารถดึงกลับได้โดยบุคคลใด ๆ รวมถึงแฮ็กเกอร์ด้วย Resolv ได้หยุดชะงักโปรโตคอลไว้ก่อนหน้านี้และเสนอเงินรางวัลแบบไวท์แฮต 10% แต่แฮ็กเกอร์กลับไม่แสดงความสนใจในการหาทางออกอย่างสันติ จึงทำให้ทีมใช้สิทธิอำนาจในการอัปเกรดเพื่อทำลายโทเค็นที่เหลือ
เหตุเอ็กซ์พลอยต์เกิดขึ้นเมื่อวันที่ 22 มีนาคม 2026 เมื่อผู้โจมตีใช้คีย์ส่วนตัวเดียวที่ถูกบุกรุกซึ่งควบคุม SERVICE_ROLE เพื่ออนุมัติการมินต์ขนาดใหญ่สองรายการ โปรโตคอลได้ออกโทเค็น USR ที่ไม่ได้รับการหนุนหลัง 80 ล้านรายการ ทั้งที่ผู้โจมตีฝากหลักประกันเพียง $100,000 ถึง $200,000 ใน USDC เท่านั้น แฮ็กเกอร์ได้แลก USR 34 ล้านรายการอย่างรวดเร็วเป็น 11,409 ETH ซึ่งประมาณ $24.5 ล้าน ณ เวลานั้น ก่อนที่สภาพคล่องจะถูกใช้หมด โทเค็นที่เหลือยังคงถูกเก็บไว้อย่างเฉยเมยในวอลเล็ตของผู้กระทำผิด โดยส่วนใหญ่ถูกห่อไว้เป็น wstUSR
ดีเพกที่เกิดขึ้นจากการกระทำของแฮ็กเกอร์ทำให้ USR ร่วงลงต่ำถึง $0.025 บน Curve ในอดีต การอัปเกรดสัญญาของ Resolv ถูกวิพากษ์วิจารณ์ว่าเป็นความเสี่ยงด้านการรวมศูนย์ คล้ายกับคานงัดที่โปรเจกต์อื่นอย่าง Flow ได้พิจารณาไว้ อย่างไรก็ตาม การดำเนินการดังกล่าวสามารถจำกัดการขาดทุนรวมที่โปรโตคอลคาดการณ์ไว้ให้เหลือประมาณ $34 ล้านได้สำเร็จ
โปรโตคอล DeFi ได้รับผลกระทบในวงกว้างจากเหตุเอ็กซ์พลอยต์ของ Resolv
โปรโตคอล DeFi ที่มีความเสี่ยงต่อคลัง (vaults) ของ Resolv ได้ถูกดึงให้เข้าไปอยู่ในรัศมีความเสียหาย Morpho vaults ดูดซับหนี้เสียเป็นจำนวนมากหลายล้านดอลลาร์ ซึ่งทำให้เกิดการไหลออกครั้งใหญ่ Trading Strategy ซึ่งเป็นแพลตฟอร์มวิเคราะห์ข้อมูล DeFi ระบุว่า vault จำนวนมากกลายเป็นสภาพคล่องไม่ได้อันเป็นผลมาจากการถูกบุกรังคีย์ส่วนตัวของ Resolv โดยหลักประกันกลับกลายเป็นมูลค่าไร้ค่าในชั่วข้ามคืน วอลเล็ต Morpho บางส่วนกลับแสดงผลตอบแทนสูงทันที แต่ vault เหล่านั้นกลับไม่มีสภาพคล่อง และผู้ฝากเงินไม่น่าจะถอนเงินได้
บรรดาผู้ดูแลที่ดีได้ป้องกันการฝากเงินใหม่โดยตั้งค่าวงเงินฝากสูงสุดเป็นศูนย์ แต่มาตรฐานของ vault ไม่มีธงแยกต่างหากสำหรับ “vault ที่พัง” มีเพียง “ถึงขีดความจุสูงสุดแล้ว” Trading Strategy ทำการขึ้นบัญชีดำแบบแมนนวลสำหรับ vault ที่มีปัญหา แต่กระบวนการนี้ใช้เวลา
รูปแบบการแฮ็ก DeFi ในวงกว้างยังคงดำเนินต่อด้วย Drift และ Balancer
เหตุเอ็กซ์พลอยต์ของ Resolv เพิ่มเติมให้กับรูปแบบที่น่าหดหู่ของการแฮ็ก DeFi ขนาดใหญ่ ในเวลาเพียงไม่กี่สัปดาห์ก่อนหน้า Resolv Balancer Labs ซึ่งเป็นนิติบุคคลที่แสวงหากำไรซึ่งอยู่เบื้องหลังการพัฒนา automated market maker แบบบุกเบิก ได้ประกาศว่าจะปิดตัวลงหลังจากสูญเสีย $128 ล้านจากเหตุโจมตีในเดือนพฤศจิกายน 2025 ซีอีโอของ Balancer ได้อ้างถึงผลกระทบทางกฎหมายที่ยังคงดำเนินอยู่และภาระทางการเงินจากการแฮ็ก ซึ่งได้ทำให้พูลสภาพคล่องถูกระบายออกผ่านการโต้ตอบกับ vault ที่ถูกจัดการไว้ ส่วน Balancer DAO และโปรโตคอลยังคงมีชีวิตอยู่ แต่บริษัทพัฒนาหลักได้ยุติลงอย่างมีประสิทธิผลแล้ว
เดือนเมษายน 2026 เริ่มต้นด้วยการที่ Drift Protocol รายงานการขาดทุน $285 ล้านในวันที่ 1 เมษายน ซึ่งเชื่อมโยงกับแฮ็กเกอร์ที่รัฐเกาหลีเหนือสนับสนุน สำหรับ Resolv การนำเสนอยอดขาดทุนขั้นสุดท้ายที่ $34 ล้านให้เป็นเส้นฐานที่ชัดเจนสำหรับการฟื้นตัว โดยซื้อเวลาของโปรโตคอลที่ Balancer ไม่ได้มี โอเปอเรชันยังคงถูกหยุดไว้
FAQ
เหตุเอ็กซ์พลอยต์ของ Resolv เกิดขึ้นได้อย่างไร?
ผู้โจมตีได้บุกรังคีย์ส่วนตัวที่โฮสต์บน AWS เพียงคีย์เดียวซึ่งควบคุม SERVICE_ROLE ทำให้พวกเขาสามารถมินต์โทเค็น USR ที่ไม่ได้รับการหนุนหลัง 80 ล้านรายการ โดยใช้เพียง $100,000–$200,000 ในหลักประกัน พวกเขาแลก USR 34 ล้านรายการเป็น 11,409 ETH (≈$24.5 ล้าน) ก่อนที่สภาพคล่องจะถูกใช้หมด จากนั้น Resolv ได้เผาทำลายโทเค็นที่เหลือ 36.73 ล้านรายการผ่านการอัปเกรดสัญญา
การขาดทุนโดยประมาณขั้นสุดท้ายสำหรับ Resolv คือเท่าใด?
การขาดทุนสุทธิของ Resolv อยู่ที่ประมาณ $34 ล้าน ผู้โจมตีดึง ETH ออกมาได้ประมาณ $24.5 ล้าน และการอัปเกรดของโปรโตคอลได้ป้องกันการขาดทุนเพิ่มเติมด้วยการทำลายโทเค็นที่เหลือซึ่งอยู่ในมือของแฮ็กเกอร์
โปรโตคอล DeFi อื่น ๆ ได้รับผลกระทบจากเหตุแฮ็กล่าสุดหรือไม่?
Balancer Labs ปิดตัวลงหลังจากการแฮ็กมูลค่า $128 ล้านในเดือนพฤศจิกายน 2025 และ Drift Protocol ประสบกับเหตุเอ็กซ์พลอยต์มูลค่า $285 ล้านในวันที่ 1 เมษายน 2026 Morpho vaults ยังดูดซับหนี้เสียจากเหตุการณ์ของ Resolv ทำให้ไม่สามารถรักษาสภาพคล่องได้ และนำไปสู่การไหลออกครั้งใหญ่
