Protokol Resolv Diretas: $25 Juta Dikuras Melalui Kerentanan Stablecoin USR

Sorotan Utama

• Penyerang canggih memanfaatkan kerentanan dalam mekanisme minting USR Resolv, menghasilkan sekitar 80 juta token tanpa jaminan dari deposit awal hanya $200.000 dalam USDC
• Peretas berhasil mengekstrak 11.409 ETH, senilai sekitar $25 juta
• Nilai USR anjlok ke $0,025 di Curve Finance sebelum mengalami pemulihan parsial menjadi sekitar $0,85
• Resolv telah menangguhkan semua operasi protokol; meskipun tim mengklaim kolam jaminan tetap aman, pemegang token USR mengalami kerugian signifikan akibat inflasi pasokan
• Platform DeFi utama termasuk Morpho, Lido, dan Aave dengan cepat merespons untuk menilai dan mengurangi eksposur mereka

Pelanggaran keamanan kritis menimpa stablecoin USR Resolv pada hari Minggu, dengan penyerang mengeksploitasi kerentanan dalam infrastruktur minting untuk menghasilkan sekitar 80 juta token tanpa jaminan, yang pada akhirnya menguras sekitar $25 juta Ether dari protokol.

Aktivitas berbahaya dimulai sekitar pukul 2:21 pagi UTC. Pelaku memulai serangan dengan menyetor 100.000 USDC ke dalam kontrak USR Counter Resolv, menerima 50 juta USR yang sangat besar sebagai imbalannya — sekitar 500 kali jumlah yang sah. Transaksi lanjutan menghasilkan 30 juta token tambahan.

Setelah minting tidak sah, penyerang secara sistematis menukar USR palsu dengan USDC dan USDT melalui berbagai bursa terdesentralisasi, kemudian mengkonsolidasikan hasilnya menjadi ETH. Dompet penyerang saat ini berisi 11.409 ETH, mewakili sekitar $23,7 juta dalam nilai pasar saat ini.

USR, yang dirancang untuk mempertahankan patokan harga $1, secara katastrofis runtuh menjadi $0,025 di Curve Finance hanya 17 menit setelah transaksi minting awal. Sementara token mengalami rebound parsial menjadi sekitar $0,85, token tersebut tetap secara signifikan terdepegged pada Minggu pagi.

Terlepas dari jaminan ini, analis blockchain menyoroti bahwa pemegang USR yang ada mengalami kerusakan substansial. Masuknya 80 juta token yang baru dicetak secara besar-besaran sangat mengencerkan pasokan yang beredar, sementara penjualan agresif penyerang menguras likuiditas pool yang tersedia. Setiap investor yang memegang USR selama insiden mengalami kerugian portofolio langsung.

Kelemahan Keamanan Dilacak ke Manajemen Akses yang Tidak Memadai

Analis keamanan blockchain Andrew Hong mengidentifikasi asal pelanggaran sebagai akun istimewa yang ditunjuk sebagai SERVICE_ROLE. Akun kritis ini dikontrol oleh satu akun yang dimiliki secara eksternal daripada dompet multisignature yang lebih aman. Kontrak minting tidak memiliki perlindungan penting termasuk verifikasi oracle, protokol validasi jumlah, dan ambang batas minting maksimum.

Pashov, perusahaan keamanan yang sebelumnya mengaudit modul staking Resolv pada Juli 2025, menginformasikan kepada Cointelegraph bahwa masalah mendasar tampaknya berasal dari kompromi kunci pribadi daripada kelemahan inheren dalam desain arsitektur protokol.

Situs web resmi Resolv mendokumentasikan 14 keterlibatan audit terpisah yang dilakukan oleh lima perusahaan keamanan berbeda, program bug bounty senilai $500.000 yang dihosting di Immunefi, dan sistem pengawasan kontrak pintar yang sedang berlangsung.

Ekosistem DeFi Merespons untuk Membendung Dampak

Banyak platform DeFi menerapkan langkah respons cepat setelah eksploitasi. Lido mengonfirmasi bahwa dana pengguna yang didepositkan di Lido Earn tetap aman. Pendiri Aave Stani Kulechov menyatakan platform tidak memiliki eksposur USR langsung dan mengonfirmasi Resolv secara aktif membayar kembali utang yang belum dibayar. Co-founder Morpho Merlin Egalite mengklarifikasi bahwa hanya vault tertentu yang memiliki eksposur USR.

Efek Penularan Menyebar Melalui Ekosistem Pinjaman

Baik USR dan turunan staked-nya wstUSR disetujui sebagai aset jaminan di platform seperti Morpho dan Gauntlet. Analis pasar mengamati bahwa trader oportunistik mungkin telah membeli USR pada harga yang sangat diskon dan memanfaatkannya untuk meminjam USDC pada valuasi penuh $1, secara efektif menguras cadangan likuiditas dari vault yang terkena dampak.

Tranches asuransi junior Resolv, RLP, juga menghadapi potensi penurunan modal. Stream Finance, yang memegang posisi RLP substansial sebesar 13,6 juta senilai sekitar $17 juta, dapat menyebarkan kerugian tambahan ke basis depositornya. Stream sebelumnya mengungkapkan kerugian $93 juta pada November 2025.

Token tata kelola RESOLV turun sekitar 8,5% dalam periode 24 jam setelah pelanggaran keamanan.

Insiden Resolv ini mencontohkan pola industri yang lebih luas. Menurut laporan Immunefi terbaru, rata-rata peretasan cryptocurrency sekarang menimbulkan kerusakan sekitar $25 juta, dengan lima eksploitasi terbesar selama 2024–2025 mewakili 62% dari total dana yang dicuri.

Postingan Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability pertama kali muncul di Blockonomi.