Resolv Protocol Bị Tấn Công: 25 Triệu Đô La Bị Rút Qua Lỗ Hổng Stablecoin USR

Điểm Nổi Bật Chính

• Một kẻ tấn công tinh vi đã khai thác lỗ hổng trong cơ chế mint USR của Resolv, tạo ra khoảng 80 triệu token không có tài sản thế chấp từ khoản nạp ban đầu chỉ 200,000 USDC
• Hacker đã chiết xuất thành công 11,409 ETH, trị giá khoảng 25 triệu USD
• Giá trị của USR giảm mạnh xuống 0.025 USD trên Curve Finance trước khi phục hồi một phần lên khoảng 0.85 USD
• Resolv đã tạm ngưng tất cả các hoạt động giao thức; trong khi nhóm tuyên bố rằng pool tài sản thế chấp vẫn an toàn, những người nắm giữ token USR đã chịu tổn thất đáng kể do lạm phát nguồn cung
• Các nền tảng DeFi lớn bao gồm Morpho, Lido và Aave đã nhanh chóng phản ứng để đánh giá và giảm thiểu rủi ro của họ

Một vi phạm bảo mật nghiêm trọng đã tấn công stablecoin USR của Resolv vào Chủ nhật, với kẻ tấn công khai thác các lỗ hổng trong cơ sở hạ tầng mint để tạo ra khoảng 80 triệu token không có tài sản thế chấp, cuối cùng rút khoảng 25 triệu USD giá trị Ether từ giao thức.

Hoạt động độc hại bắt đầu vào khoảng 2:21 sáng UTC. Kẻ tấn công bắt đầu cuộc tấn công bằng cách nạp 100,000 USDC vào hợp đồng USR Counter của Resolv, nhận lại 50 triệu USR — khoảng 500 lần số lượng hợp pháp. Một giao dịch tiếp theo đã tạo ra thêm 30 triệu token.

Sau khi mint trái phép, kẻ tấn công đã có hệ thống đổi USR gian lận sang USDC và USDT thông qua các sàn giao dịch phi tập trung khác nhau, sau đó hợp nhất số tiền thu được thành ETH. Ví của kẻ tấn công hiện chứa 11,409 ETH, tương đương khoảng 23.7 triệu USD theo giá thị trường hiện tại.

USR, được thiết kế để duy trì mức neo giá 1 USD, đã sụp đổ thảm khốc xuống 0.025 USD trên Curve Finance chỉ 17 phút sau giao dịch mint ban đầu. Trong khi token có sự phục hồi một phần lên khoảng 0.85 USD, nó vẫn bị mất neo đáng kể vào sáng Chủ nhật.

Bất chấp những đảm bảo này, các nhà phân tích blockchain nhấn mạnh rằng những người nắm giữ USR hiện tại đã chịu thiệt hại đáng kể. Dòng tiền khổng lồ 80 triệu token mới được mint đã pha loãng nghiêm trọng tổng cung lưu hành, trong khi việc bán tháo mạnh mẽ của kẻ tấn công đã làm cạn kiệt thanh khoản của pool. Bất kỳ nhà đầu tư nào nắm giữ USR trong sự cố đã trải qua tổn thất danh mục đầu tư ngay lập tức.

Lỗ Hổng Bảo Mật Có Nguồn Gốc Từ Quản Lý Truy Cập Không Đầy Đủ

Nhà phân tích bảo mật blockchain Andrew Hong xác định nguồn gốc của vi phạm là một tài khoản đặc quyền được chỉ định là SERVICE_ROLE. Tài khoản quan trọng này được kiểm soát bởi một tài khoản sở hữu bên ngoài duy nhất thay vì một ví đa chữ ký an toàn hơn. Hợp đồng mint thiếu các biện pháp bảo vệ thiết yếu bao gồm xác minh oracle, giao thức xác thực số lượng và ngưỡng mint tối đa.

Pashov, một công ty bảo mật đã kiểm toán mô-đun staking của Resolv vào tháng 7 năm 2025, thông báo với Cointelegraph rằng vấn đề cơ bản dường như bắt nguồn từ việc khóa riêng tư bị xâm phạm thay vì điểm yếu vốn có trong thiết kế kiến trúc của giao thức.

Trang web chính thức của Resolv ghi nhận 14 cuộc kiểm toán riêng biệt được thực hiện bởi năm công ty bảo mật khác nhau, một chương trình tiền thưởng lỗi 500,000 USD được tổ chức trên Immunefi và các hệ thống giám sát hợp đồng thông minh đang hoạt động.

Hệ Sinh Thái DeFi Phản Ứng Để Kiểm Soát Hậu Quả

Nhiều nền tảng DeFi đã thực hiện các biện pháp phản ứng nhanh chóng sau khi khai thác. Lido xác nhận rằng các khoản tiền của người dùng được gửi vào Lido Earn vẫn an toàn. Người sáng lập Aave Stani Kulechov tuyên bố nền tảng không có rủi ro trực tiếp với USR và xác nhận Resolv đang tích cực hoàn trả nợ chưa thanh toán. Đồng sáng lập Morpho Merlin Egalite làm rõ rằng chỉ các vault cụ thể có rủi ro với USR.

Hiệu Ứng Lây Lan Lan Rộng Qua Các Hệ Sinh Thái Cho Vay

Cả USR và phái sinh stake của nó wstUSR đã được phê duyệt làm tài sản thế chấp trên các nền tảng như Morpho và Gauntlet. Các nhà phân tích thị trường quan sát thấy rằng các nhà giao dịch cơ hội có thể đã mua USR ở mức giá giảm mạnh và tận dụng nó để vay USDC với mức giá đầy đủ 1 USD, rút cạn hiệu quả dự trữ thanh khoản từ các vault bị ảnh hưởng.

Khối bảo hiểm junior của Resolv, RLP, cũng đối mặt với khả năng suy giảm vốn. Stream Finance, nắm giữ một vị thế RLP đáng kể 13.6 triệu trị giá khoảng 17 triệu USD, có thể chuyển thêm tổn thất cho cơ sở người gửi tiền của mình. Stream trước đó đã tiết lộ khoản lỗ 93 triệu USD vào tháng 11 năm 2025.

Token quản trị RESOLV giảm khoảng 8.5% trong khoảng thời gian 24 giờ sau vi phạm bảo mật.

Sự cố Resolv này minh họa một mô hình ngành rộng hơn. Theo báo cáo gần đây của Immunefi, vụ hack tiền điện tử trung bình hiện gây ra thiệt hại khoảng 25 triệu USD, với năm vụ khai thác lớn nhất trong giai đoạn 2024–2025 chiếm 62% tổng số tiền bị đánh cắp.

Bài viết Resolv Protocol Hacked: $25 Million Drained Through USR Stablecoin Vulnerability xuất hiện đầu tiên trên Blockonomi.