Resolv Labs đã hủy 36,73 triệu USR stablecoin được kẻ tấn công nắm giữ thông qua một bản nâng cấp hợp đồng vào ngày 6 tháng 4 năm 2026, sau một cuộc khai thác vào tháng 3 trong đó một khóa bị xâm phạm cho phép kẻ tấn công đúc 80 triệu token USR không được bảo chứng với số tiền thế chấp ban đầu chưa đến $200,000 và bán tháo khoảng 34 triệu USR lấy 11,409 ETH (trị giá xấp xỉ $24,5 triệu).
Sự cố đã khiến giao thức đối mặt với khoản lỗ ròng ước tính khoảng $34 triệu, mặc dù Resolv Labs khẳng định quỹ dự trữ (collateral) của mình vẫn còn nguyên vẹn.
Kẻ tấn công đã khai thác khóa đúc từ xa để tạo ra USR không được bảo chứng
Sự khai thác bắt nguồn từ một thất bại nghiêm trọng trong luồng đúc USR của Resolv. Một kẻ tấn công duy nhất, sử dụng một khóa dịch vụ bị xâm phạm trong quy trình đúc từ xa hai bước, đã có thể tạo ra 80 triệu token USR không có bảo chứng. Sau đó, kẻ tấn công đã bán tháo khoảng 34 triệu USR trên các sàn thanh khoản DeFi, rút ra chừng 11,409 ETH (được định giá xấp xỉ $24,5 triệu). Phần USR còn lại mà kẻ tấn công nắm giữ sau đó đã bị Resolv Labs hủy thông qua một bản nâng cấp hợp đồng, loại bỏ tổng cộng khoảng 46 triệu USR khỏi địa chỉ của kẻ tấn công.
Sự cố khiến USR mất neo, giảm thấp nhất còn $0.14 trước khi bật lại một phần về vùng $0.23–$0.27. Các công ty phân tích trên chuỗi ước tính lợi nhuận của kẻ tấn công nằm giữa $23 triệu và $25 triệu khi token bị lệch neo trên Curve và các pool thanh khoản khác.
Resolv Labs dùng bản nâng cấp hợp đồng để đốt lượng nắm giữ của kẻ tấn công
Khoảng một giờ trước khi công bố, Resolv Labs đã thực hiện một bản nâng cấp hợp đồng hủy 36,73 triệu USR được giữ tại địa chỉ của kẻ tấn công. Nhóm đã loại bỏ tổng cộng khoảng 46 triệu USR khỏi địa chỉ của kẻ tấn công thông qua bản nâng cấp. Tuy nhiên, giá trị đã được chiết xuất trước đó dưới dạng ETH—khoảng 11,409 ETH (trị giá khoảng $24,48 triệu)—vẫn nằm tại địa chỉ 0x8ED…81C, khiến giao thức phải gánh khoản thiệt hại kinh tế thực tế khoảng $34 triệu.
Trong báo cáo hậu kiểm, Resolv Labs nhấn mạnh rằng quỹ dự trữ của họ “vẫn còn nguyên vẹn” dù đã có việc đúc 80 triệu USR do bị khai thác. Tuy nhiên, các nhà cung cấp thanh khoản và người dùng sử dụng đòn bẩy trên các giao thức tích hợp đã hấp thụ biến động trượt giá (price slippage) và bị buộc phải đóng vị thế. Giao thức đã tạm dừng hoạt động sau sự cố khai thác và triển khai một kế hoạch khôi phục.
Rủi ro quản lý khóa trong DeFi được làm nổi bật bởi sự khai thác USR
Vụ khai thác USR đã trở thành một nghiên cứu điển hình về các thất bại trong quản lý khóa của DeFi, kéo theo các so sánh với các sự cố stablecoin gần đây khác và lây lan trong thị trường cho vay. Chainalysis mô tả sự cố là một trường hợp trong đó kẻ tấn công có thể đúc ra hàng chục triệu stablecoin không được bảo chứng và chiết xuất khoảng $23 triệu về giá trị, đồng thời cho thấy cách một khóa dịch vụ bị xâm phạm trong quy trình đúc từ xa có thể dẫn đến các khoản lỗ mang tính hệ thống.
Sự việc cũng nhấn mạnh cách các quyền kiểm soát đặc quyền có thể vừa cho phép, vừa giảm thiểu các sự cố thảm khốc trong các hệ thống được cho là phi tập trung. Với các nhà giao dịch và nhà đầu tư, sự cố này khơi lại những câu hỏi lâu nay liệu các stablecoin sinh lợi có thể mở rộng mà không tạo ra các điểm lỗi đơn lẻ hay không. Các giao thức DeFi với các stablecoin có thể kết hợp (composable) hiện chịu thêm áp lực để gia cố logic đúc, luân chuyển khóa, và đối xử với hạ tầng backend với cùng mức độ chặt chẽ như các hợp đồng thông minh đã được kiểm toán.
Câu hỏi thường gặp (FAQ)
Sự khai thác của Resolv Labs đã diễn ra như thế nào?
Kẻ tấn công đã xâm phạm một khóa dịch vụ trong quy trình đúc từ xa hai bước của Resolv, cho phép họ đúc 80 triệu token USR không được bảo chứng với số tiền thế chấp ban đầu ít hơn $200,000. Sau đó, kẻ tấn công đã bán tháo khoảng 34 triệu USR để lấy 11,409 ETH (khoảng $24,5 triệu) trước khi Resolv đốt số lượng nắm giữ còn lại thông qua một bản nâng cấp hợp đồng.
Tác động tài chính của sự khai thác là gì?
Kẻ tấn công đã chiết xuất khoảng 11,409 ETH trị giá khoảng $24,5 triệu. Resolv Labs đối mặt với khoản lỗ ròng ước tính khoảng $34 triệu, mặc dù đã đốt 36,73 triệu USR do kẻ tấn công nắm giữ. USR stablecoin bị lệch neo, giảm thấp nhất còn $0.14 trước khi phục hồi một phần.
Resolv Labs đã thực hiện những biện pháp gì sau sự khai thác?
Resolv Labs đã tạm dừng hoạt động, triển khai một kế hoạch khôi phục và sử dụng một bản nâng cấp hợp đồng để hủy 36,73 triệu USR do kẻ tấn công nắm giữ. Nhóm đã loại bỏ khoảng 46 triệu USR khỏi địa chỉ của kẻ tấn công. Giao thức cho biết quỹ dự trữ của họ vẫn còn nguyên vẹn bất chấp sự khai thác.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
