Resolv hack memperdalam dampak negatif DeFi karena risiko stablecoin kritis muncul

Kerentanan utama dalam sistem pencetakan stablecoin USR Resolv memicu peretasan resolv, menyebabkan gangguan pasar yang parah di beberapa platform DeFi yang saling terhubung.

Bagaimana eksploitasi USR stablecoin terjadi

Pada hari Minggu, seorang penyerang canggih menargetkan infrastruktur penerbitan USR Resolv dan menghasilkan sekitar 80 juta token tidak didukung, yang akhirnya menguras sekitar $25 juta Ether (ETH) dari protokol tersebut. Eksploitasi ini menunjukkan bagaimana satu kelemahan dalam logika pencetakan stablecoin dapat memicu krisis pasar yang lebih luas.

Aktivitas jahat dimulai sekitar pukul 2:21 dini hari UTC, ketika pelaku menyetor 100.000 USDC ke kontrak USR Counter Resolv. Sebagai imbalannya, pelaku menerima USR anomali sebanyak 50 juta — sekitar 500 kali lipat dari jumlah yang sah. Transaksi berikutnya menghasilkan tambahan 30 juta token. Bersama-sama, tindakan ini meningkatkan pasokan USR tanpa jaminan yang sesuai.

Setelah pencetakan tidak sah tersebut, pelaku secara sistematis menukar USR palsu tersebut dengan USDC dan USDT di berbagai bursa terdesentralisasi. Selain itu, pelaku kemudian mengkonsolidasikan hasilnya ke dalam ETH. Menurut data on-chain, dompet pelaku saat ini memegang 11.409 ETH, yang bernilai sekitar $23,7 juta berdasarkan harga pasar saat ini.

Depeg brutal di Curve dan kerugian besar bagi pemegang USR

USR, yang dirancang untuk mempertahankan nilai $1, mengalami keruntuhan hampir seketika. Hanya 17 menit setelah pencetakan anomali pertama, token tersebut jatuh ke $0,025 di Curve Finance. Namun, harga segera mengalami pemulihan parsial, rebound ke sekitar $0,85, tetapi tetap jauh dari nilai peg selama Minggu pagi.

Resolv Labs mengumumkan di X bahwa mereka telah menangguhkan semua operasi protokol. Tim menegaskan bahwa kolateral pool “tetap sepenuhnya utuh” dan menegaskan bahwa “aset dasar” tidak dikompromikan, memandang masalah ini sebagai “terbatas pada mekanisme penerbitan USR”. Meski begitu, reaksi pasar menunjukkan bahwa pengguna jauh dari merasa yakin.

Analis blockchain dengan cepat menunjukkan bahwa pemegang USR yang ada menanggung sebagian besar kerusakan. Masuknya 80 juta token baru secara tiba-tiba sangat mengencerkan pasokan yang beredar. Selain itu, penjualan agresif dari pelaku menguras likuiditas dari pool yang tersedia. Investor yang memegang USR selama insiden tersebut menghadapi kerugian portofolio yang langsung dan signifikan.

Kompromi akun istimewa protokol dan perlindungan pencetakan

Peneliti keamanan segera melacak eksploitasi kembali ke kontrol akses penting. Analis keamanan blockchain Andrew Hong mengidentifikasi sumber pelanggaran tersebut pada akun istimewa yang disebut SERVICE_ROLE. Peran yang sangat sensitif ini diduga dikelola oleh satu akun eksternal, bukan struktur dompet multisignature yang lebih aman.

Kontrak pencetakan USR dilaporkan tidak memiliki perlindungan utama seperti verifikasi oracle yang kuat, validasi jumlah yang tepat, dan batas maksimum pencetakan. Namun, kelemahan desain ini mungkin berinteraksi dengan kegagalan operasional yang lebih dalam: terpaparnya kredensial istimewa. Insiden ini menyoroti bagaimana peran tata kelola dapat menjadi titik kegagalan tunggal jika tidak diamankan dengan benar.

Perusahaan keamanan Pashov, yang sebelumnya mengaudit modul staking Resolv pada Juli 2025, memberi tahu Cointelegraph bahwa akar penyebabnya tampaknya adalah kompromi kunci pribadi, bukan cacat dalam desain arsitektur inti. Meski begitu, perusahaan menekankan bahwa protokol yang sudah diaudit dengan baik tetap rentan jika praktik manajemen kunci dan keamanan operasional tidak ketat.

Deddy Lavid, CEO Cyvers, memperingatkan bahwa audit saja tidak cukup untuk menjamin keamanan penuh. “Audit saja tidak cukup. Jika Anda tidak memantau pencetakan dan pasokan secara real-time, Anda akan buta saat hal paling penting terjadi,” katanya, menegaskan perlunya pemantauan otomatis dan berkelanjutan terhadap tindakan istimewa.

Audit luas, bug bounty, dan kekurangan pemantauan waktu nyata

Dokumentasi resmi Resolv mencantumkan 14 audit yang dilakukan oleh lima perusahaan keamanan berbeda. Proyek ini juga mengiklankan program bug bounty sebesar $500.000 di Immunefi, bersama sistem pengawasan kontrak pintar yang sedang berlangsung. Namun, serangan yang berhasil menunjukkan bahwa bahkan investasi keamanan yang besar pun dapat dirusak oleh satu kelalaian operasional.

Pengamat industri mencatat bahwa skala kerugian sejalan dengan tren yang lebih luas. Laporan Immunefi terbaru menemukan bahwa rata-rata peretasan cryptocurrency menyebabkan kerusakan sekitar $25 juta. Selain itu, lima eksploitasi terbesar selama 2024–2025 menyumbang 62% dari total nilai yang dicuri di seluruh sektor, menegaskan konsentrasi risiko yang terus-menerus.

Dalam konteks ini, peretasan resolv menjadi studi kasus tentang batasan audit pra-peluncuran dan bug bounty. Pengawasan on-chain yang berkelanjutan, penguatan manajemen kunci, dan kontrol ketat terhadap peran istimewa semakin diperlukan untuk mencegah insiden serupa.

Dampak kontagion DeFi dan respons platform

Eksploitasi ini dengan cepat menyebar ke ekosistem DeFi yang lebih luas. Banyak platform mulai menilai dan mengurangi eksposur mereka terhadap USR dan aset terkait. Selain itu, mereka mengeluarkan pembaruan publik untuk mengurangi kepanikan pengguna dan mencegah stres sistemik lebih lanjut.

Lido mengonfirmasi bahwa dana pengguna yang disetor ke Lido Earn tetap aman dan tidak langsung terpengaruh oleh insiden ini. Stani Kulechov, pendiri Aave, menyatakan bahwa protokol pinjaman tidak memiliki eksposur langsung terhadap USR. Ia juga mengatakan bahwa Resolv sedang aktif melunasi utang yang belum dibayar, menunjukkan upaya terkoordinasi untuk membatasi efek lanjutan.

Di platform pengoptimal pinjaman Morpho, salah satu pendiri Merlin Egalite menjelaskan bahwa hanya vault tertentu yang memiliki eksposur USR, bukan seluruh platform. Namun, risiko ini tetap menimbulkan tantangan bagi pool tertentu dan penyedia likuiditasnya, mendorong peninjauan cepat terhadap tata kelola dan parameter risiko.

Perdagangan leverage dan tekanan pada pasar pinjaman

Baik USR maupun derivatif stake-nya, wstUSR, telah disetujui sebagai jaminan di beberapa protokol, termasuk Morpho dan Gauntlet. Analis pasar melaporkan bahwa trader oportunistik tampaknya membeli USR dengan harga distressed dan menggunakannya sebagai jaminan, meminjam USDC dengan nilai mendekati $1 penuh.

Strategi ini menciptakan ketidaksesuaian berbahaya antara harga pasar dan penilaian jaminan. Akibatnya, vault yang terdampak mengalami pengurasan cadangan stablecoin mereka, sementara nilai nyata dari jaminan yang mendukung pinjaman tersebut telah runtuh. Meski begitu, mesin risiko dan oracle di beberapa platform mungkin masih menyesuaikan diri dari waktu ke waktu untuk mengurangi kerusakan jangka panjang.

Token tranche asuransi junior Resolv, RLP, juga menghadapi potensi kerusakan modal. Stream Finance, yang memegang sekitar 13,6 juta RLP bernilai sekitar $17 juta, berpotensi menularkan kerugian tambahan ke basis deposan mereka. Selain itu, Stream sebelumnya mengungkapkan kerugian sebesar $93 juta pada November 2025, yang meningkatkan kekhawatiran tentang risiko kumulatif bagi penggunanya.

Dalam dampak langsung, token tata kelola RESOLV turun sekitar 8,5% dalam periode 24 jam. Penurunan ini mencerminkan kekhawatiran langsung tentang solvabilitas protokol dan keraguan yang lebih luas terhadap arsitektur keamanan dan ketahanan operasional platform.

Implikasi lebih luas dari bug pencetakan USR resolv

Peretasan resolv, yang dipicu oleh kerentanan stablecoin USR, menggambarkan bagaimana kombinasi kompromi akun istimewa dan kurangnya pemantauan waktu nyata dapat merusak persiapan keamanan yang luas. Selain itu, menyoroti bahwa peristiwa depeg di venue likuiditas utama dapat dengan cepat menyebabkan kerusakan kolateral di seluruh lapisan pinjaman, staking, dan asuransi.

Ke depan, penerbit stablecoin dan protokol DeFi kemungkinan akan menghadapi pengawasan yang lebih ketat terkait manajemen kunci, verifikasi jaminan, dan pengawasan risiko on-chain. Singkatnya, insiden Resolv menegaskan pelajaran keras bagi industri: tanpa kontrol yang ketat terhadap pencetakan dan akses istimewa, bahkan sistem yang sangat diaudit pun dapat gagal secara katastrofik.