Vụ hack Resolv làm sâu thêm tác hại đối với DeFi khi những rủi ro stablecoin quan trọng nổi lên

Một lỗ hổng lớn trong hệ thống phát hành stablecoin USR của Resolv đã kích hoạt vụ tấn công Resolv, gây ra sự gián đoạn nghiêm trọng trên nhiều nền tảng DeFi liên kết với nhau.

Cách khai thác USR stablecoin diễn ra

Vào Chủ nhật, một hacker tinh vi đã nhắm vào hạ tầng phát hành USR của Resolv và tạo ra khoảng 80 triệu token không được đảm bảo, cuối cùng rút khoảng 25 triệu USD giá trị Ether (ETH) khỏi giao thức. Vụ khai thác này nhấn mạnh cách một điểm yếu trong logic phát hành stablecoin có thể dẫn đến khủng hoảng thị trường rộng lớn hơn.

Hoạt động độc hại bắt đầu khoảng 2:21 sáng UTC, khi kẻ tấn công gửi 100.000 USDC vào hợp đồng USR Counter của Resolv. Đổi lại, kẻ tấn công nhận được một lượng bất thường 50 triệu USR — khoảng 500 lần số lượng hợp lệ. Một giao dịch sau đó tạo ra thêm 30 triệu token. Tổng cộng, các hành động này làm tăng cung USR mà không có tài sản thế chấp tương ứng.

Sau khi phát hành trái phép, kẻ tấn công đã systematically đổi USR giả sang USDC và USDT trên nhiều sàn giao dịch phi tập trung. Hơn nữa, kẻ khai thác sau đó đã hợp nhất số tiền thu được thành ETH. Theo dữ liệu trên chuỗi, ví của kẻ tấn công hiện đang giữ 11.409 ETH, trị giá khoảng 23,7 triệu USD theo giá thị trường hiện tại.

Depeg dữ dội trên Curve và thiệt hại nặng nề cho người nắm giữ USR

USR, được thiết kế để duy trì giá cố định 1 USD, đã trải qua sự sụp đổ gần như ngay lập tức. Chỉ 17 phút sau lần phát hành bất thường đầu tiên, token giảm xuống còn 0,025 USD trên Curve Finance. Tuy nhiên, giá sau đó đã phục hồi một phần, lên khoảng 0,85 USD, nhưng vẫn duy trì trạng thái mất peg sâu trong suốt sáng Chủ nhật.

Resolv Labs thông báo trên X rằng họ đã tạm dừng tất cả hoạt động của giao thức. Nhóm nhấn mạnh rằng quỹ tài sản thế chấp “vẫn hoàn toàn nguyên vẹn” và khẳng định rằng “không có tài sản nền tảng nào bị xâm phạm”, xem đây là vấn đề “chỉ giới hạn trong cơ chế phát hành USR”. Tuy nhiên, phản ứng của thị trường cho thấy người dùng vẫn còn rất lo lắng.

Các nhà phân tích blockchain nhanh chóng chỉ ra rằng những người nắm giữ USR hiện tại đã gánh chịu phần lớn thiệt hại. Việc bổ sung đột ngột 80 triệu token mới đã làm loãng đáng kể lượng token đang lưu hành. Hơn nữa, việc bán tháo mạnh của kẻ tấn công đã làm cạn kiệt thanh khoản của các pool có sẵn. Bất kỳ nhà đầu tư nào nắm giữ USR trong thời điểm này đều đối mặt với tổn thất lớn ngay lập tức.

Vi phạm tài khoản đặc quyền của giao thức và các biện pháp bảo vệ phát hành

Các nhà nghiên cứu an ninh nhanh chóng truy tìm nguồn gốc của vụ khai thác về các kiểm soát truy cập quan trọng. Nhà phân tích an ninh blockchain Andrew Hong xác định rằng lỗ hổng bắt nguồn từ một tài khoản đặc quyền được gọi là SERVICE_ROLE. Vai trò này được cho là do một tài khoản sở hữu bên ngoài quản lý, thay vì cấu trúc ví đa chữ ký an toàn hơn.

Hợp đồng phát hành USR được cho là thiếu các biện pháp bảo vệ chính như xác minh oracle mạnh mẽ, xác nhận số lượng hợp lệ và giới hạn phát hành tối đa. Tuy nhiên, điểm yếu trong thiết kế này có thể đã tương tác với một lỗi vận hành sâu hơn: lộ các thông tin đăng nhập đặc quyền. Sự cố này làm nổi bật cách các vai trò quản trị có thể trở thành điểm thất bại đơn lẻ nếu không được củng cố đúng cách.

Công ty an ninh Pashov, đã từng kiểm tra hợp đồng staking của Resolv vào tháng 7 năm 2025, cho biết nguyên nhân gốc rễ dường như là việc mất khoá riêng chứ không phải lỗi trong thiết kế kiến trúc cốt lõi. Tuy nhiên, công ty nhấn mạnh rằng ngay cả các hệ thống đã được kiểm tra kỹ lưỡng cũng vẫn có thể dễ bị tổn thương nếu quản lý khoá và thực hành an ninh vận hành không chặt chẽ.

Deddy Lavid, CEO của Cyvers, cảnh báo rằng các cuộc kiểm tra an ninh đơn thuần không thể đảm bảo an toàn hoàn toàn. “Chỉ kiểm tra không là chưa đủ. Nếu bạn không theo dõi phát hành và cung trong thời gian thực, bạn sẽ mù quáng khi vấn đề thực sự xảy ra,” ông nói, nhấn mạnh sự cần thiết của việc giám sát tự động liên tục các hành động đặc quyền.

Các cuộc kiểm tra toàn diện, chương trình thưởng lỗi và các lỗ hổng theo dõi thời gian thực

Tài liệu chính thức của Resolv liệt kê 14 cuộc kiểm tra do năm công ty an ninh khác nhau thực hiện. Dự án cũng quảng bá chương trình thưởng lỗi trị giá 500.000 USD trên Immunefi, cùng với hệ thống giám sát hợp đồng thông minh liên tục. Tuy nhiên, vụ tấn công thành công cho thấy rằng ngay cả đầu tư an ninh lớn cũng có thể bị phá vỡ bởi một sai sót vận hành đơn lẻ.

Các nhà quan sát ngành nhận định rằng quy mô thiệt hại phù hợp với xu hướng chung. Một báo cáo gần đây của Immunefi cho biết trung bình các vụ hack tiền mã hóa gây thiệt hại khoảng 25 triệu USD. Hơn nữa, năm vụ khai thác lớn nhất trong giai đoạn 2024–2025 chiếm tới 62% tổng giá trị bị đánh cắp trong ngành, cho thấy rủi ro tập trung vẫn còn rất cao.

Trong bối cảnh này, vụ tấn công Resolv là một bài học về giới hạn của các cuộc kiểm tra trước khi triển khai và chương trình thưởng lỗi. Giám sát liên tục trên chuỗi, củng cố quản lý khoá và kiểm soát nghiêm ngặt các vai trò đặc quyền ngày càng trở nên cần thiết để ngăn chặn các sự cố tương tự.

Ảnh hưởng lan rộng trong DeFi và phản ứng của các nền tảng

Vụ khai thác nhanh chóng lan rộng trong hệ sinh thái DeFi lớn hơn. Nhiều nền tảng đã bắt đầu đánh giá và giảm thiểu rủi ro liên quan đến USR và các tài sản liên quan. Họ cũng phát hành các cập nhật công khai nhằm giảm hoảng loạn của người dùng và ngăn chặn căng thẳng hệ thống lan rộng hơn.

Lido xác nhận rằng quỹ người dùng gửi vào Lido Earn vẫn an toàn và không bị ảnh hưởng trực tiếp bởi vụ việc. Stani Kulechov, sáng lập Aave, cho biết rằng giao thức cho vay không có rủi ro trực tiếp từ USR. Ông cũng nói rằng Resolv đang tích cực trả nợ còn tồn đọng, cho thấy nỗ lực phối hợp để kiểm soát các tác động dây chuyền.

Về phía Morpho, đồng sáng lập Merlin Egalite làm rõ rằng chỉ một số vaults có rủi ro USR chứ không phải toàn bộ nền tảng. Tuy nhiên, các rủi ro này vẫn gây ra thách thức cho các pool cụ thể và các nhà cung cấp thanh khoản của họ, buộc phải nhanh chóng xem xét lại các tham số quản trị và rủi ro.

Giao dịch ký quỹ và áp lực lên thị trường cho vay

Cả USR và token phái sinh wstUSR đã được chấp thuận làm tài sản thế chấp trên một số giao thức, bao gồm Morpho và Gauntlet. Các nhà phân tích thị trường cho biết các nhà giao dịch cơ hội đã mua USR với giá giảm và sau đó dùng nó làm tài sản thế chấp, vay USDC gần như đúng giá trị 1 USD.

Chiến lược này tạo ra sự không phù hợp nguy hiểm giữa giá thị trường và giá trị tài sản thế chấp. Kết quả là các vault bị rút sạch dự trữ stablecoin, trong khi giá trị thực của tài sản thế chấp đã sụp đổ. Tuy nhiên, các bộ phận quản lý rủi ro và oracle của một số nền tảng có thể sẽ điều chỉnh theo thời gian để giảm thiểu thiệt hại lâu dài.

Token RLP của tranche bảo hiểm nhỏ của Resolv cũng có thể gặp phải tổn thất vốn tiềm năng. Stream Finance, sở hữu khoảng 13,6 triệu RLP trị giá khoảng 17 triệu USD, có thể truyền thêm thiệt hại đến nhóm người gửi tiền của mình. Hơn nữa, Stream đã từng công bố khoản lỗ 93 triệu USD vào tháng 11 năm 2025, làm tăng lo ngại về rủi ro tích tụ cho người dùng của họ.

Trong phản ứng ngay lập tức, token quản trị RESOLV giảm khoảng 8,5% trong vòng 24 giờ. Sự giảm này phản ánh cả những lo ngại trực tiếp về khả năng thanh khoản của giao thức và những nghi ngờ rộng hơn về kiến trúc an ninh và khả năng vận hành của nền tảng.

Ảnh hưởng rộng hơn của lỗi phát hành USR của Resolv

Vụ tấn công Resolv, do lỗ hổng trong USR stablecoin, cho thấy cách kết hợp giữa việc mất kiểm soát tài khoản đặc quyền của giao thức và thiếu giám sát thời gian thực có thể làm suy yếu các biện pháp an ninh đã chuẩn bị kỹ lưỡng. Hơn nữa, nó nhấn mạnh rằng các sự kiện mất peg trên các thị trường thanh khoản lớn có thể nhanh chóng gây thiệt hại lan rộng trong các lĩnh vực cho vay, staking và bảo hiểm.

Trong tương lai, các nhà phát hành stablecoin và các giao thức DeFi có thể sẽ đối mặt với sự kiểm tra kỹ lưỡng hơn về quản lý khoá, xác minh tài sản thế chấp và giám sát rủi ro trên chuỗi. Tóm lại, vụ việc Resolv là một bài học đắt giá cho ngành: không có các kiểm soát chặt chẽ về phát hành và truy cập đặc quyền, ngay cả các hệ thống đã được kiểm tra kỹ lưỡng cũng có thể thất bại trong những tình huống thảm khốc.