Menukar 200 ribu untuk mendapatkan hampir 1 miliar, stablecoin DeFi kembali diserang

Artikel oleh: Eric, Foresight News

Sekitar pukul 10:21 waktu Beijing hari ini, Resolv Labs yang menggunakan strategi Delta netral untuk menerbitkan stablecoin USR mengalami serangan hacker. Alamat yang diawali dengan 0x04A2 menggunakan 100.000 USDC untuk menyalurkan dari protokol Resolv Labs dan mencetak 50 juta USR.

Seiring terungkapnya kejadian, harga USR langsung jatuh ke sekitar $0,25, dan saat penulisan artikel ini kembali naik ke sekitar $0,8. Harga token RESOLV juga sempat turun hampir 10% dalam waktu singkat.

Setelah itu, pelaku serangan mengulangi modus yang sama dengan mencetak lagi 30 juta USR menggunakan 100.000 USDC. Dengan terlepasnya USR dari nilai patokan, para trader arbitrase pun cepat bertindak. Banyak pasar pinjaman di Morpho yang mendukung penggunaan USR, wstUSR, dan lain-lain sebagai jaminan hampir habis, dan Lista DAO di BNB Chain juga menghentikan permintaan pinjaman baru.

Tidak hanya itu, protokol pinjaman lain pun turut terdampak. Dalam desain protokol Resolv Labs, pengguna juga dapat mencetak token RLP yang memiliki volatilitas harga lebih besar dan potensi keuntungan lebih tinggi, tetapi dengan risiko harus menanggung kerugian jika terjadi kerugian pada protokol. Saat ini, jumlah peredaran token RLP mendekati 30 juta, dengan pemegang terbesar, Stream Finance, memegang lebih dari 13 juta RLP, sehingga risiko bersih sekitar 17 juta dolar AS.

Benar, sebelumnya Stream Finance yang pernah mengalami kerugian besar akibat crash xUSD mungkin akan kembali mengalami pukulan keras.

Hingga saat penulisan, pelaku serangan telah mengonversi USR ke USDC dan USDT, serta terus membeli Ethereum, dan saat ini sudah membeli lebih dari 10.000 ETH. Mereka juga mendapatkan aset senilai lebih dari 20 juta dolar AS dari 200.000 USDC, dan selama pasar bearish, pelaku serangan menemukan “koin seratus kali lipat” yang cocok untuk mereka.

Sekali lagi, celah muncul karena “ketidaktelitian”

Pada 11 Oktober tahun lalu, penurunan harga besar-besaran menyebabkan banyak stablecoin yang diterbitkan dengan strategi Delta netral mengalami kerugian jaminan akibat ADL (auto-deleveraging). Beberapa proyek yang menggunakan altcoin sebagai aset strategi mengalami kerugian lebih parah bahkan langsung kabur.

Kali ini, Resolv Labs yang diserang juga menerbitkan USR dengan mekanisme serupa. Proyek ini pernah mengumumkan pada April 2025 bahwa mereka menyelesaikan pendanaan seed round sebesar 10 juta dolar AS yang dipimpin oleh Cyber.Fund dan Maven11, dengan partisipasi dari Coinbase Ventures, dan token RESOLV diluncurkan pada akhir Mei dan awal Juni.

Namun, penyebab serangan terhadap Resolv Labs bukanlah kondisi pasar ekstrem, melainkan desain mekanisme pencetakan USR yang “tidak cukup ketat.”

Saat ini, belum ada perusahaan keamanan atau pihak resmi yang menganalisis penyebab kejadian hacking ini. Komunitas DeFi, melalui analisis awal, menyimpulkan bahwa kemungkinan besar serangan terjadi karena peran SERVICE_ROLE di backend protokol yang digunakan untuk memberikan parameter kepada kontrak pencetakan telah dikendalikan oleh hacker.

Menurut analisis Grok, saat pengguna mencetak USR, mereka akan mengirim permintaan di blockchain dan memanggil fungsi requestMint dari kontrak, dengan parameter:

• _depositTokenAddress: alamat token yang disetor;

• _amount: jumlah yang disetor;

• _minMintAmount: jumlah USR minimum yang diharapkan diterima (slippage protection).

Selanjutnya, pengguna menyetor USDC atau USDT ke kontrak, dan backend proyek yang memiliki SERVICE_ROLE memantau permintaan tersebut. Mereka menggunakan oracle Pyth untuk memeriksa nilai aset yang disetor, lalu memanggil fungsi completeMint atau completeSwap untuk menentukan jumlah USR yang benar-benar dicetak.

Masalahnya adalah, kontrak pencetakan sepenuhnya mempercayai _mintAmount yang diberikan oleh SERVICE_ROLE, menganggap angka tersebut telah diverifikasi di luar rantai oleh Pyth, sehingga tidak menetapkan batas maksimum, dan tidak melakukan verifikasi kedua melalui oracle di blockchain, langsung menjalankan mint(_mintAmount).

Berdasarkan hal ini, YAM menduga bahwa hacker mengendalikan SERVICE_ROLE yang seharusnya dikendalikan oleh tim proyek (kemungkinan karena oracle internal yang tidak terkendali, pencurian kunci, atau pengkhianatan internal), dan saat pencetakan langsung mengatur _mintAmount sebesar 50 juta, sehingga berhasil mencetak 50 juta USR dengan 100.000 USDC—serangan yang sama seperti yang terjadi sebelumnya.

Intinya, Grok menyimpulkan bahwa Resolv tidak mempertimbangkan kemungkinan bahwa alamat (atau kontrak) yang digunakan untuk menerima permintaan pencetakan dari pengguna bisa dikendalikan oleh hacker. Saat permintaan pencetakan USR dikirim ke kontrak terakhir yang mencetak USR, tidak ada batas maksimum pencetakan yang ditetapkan, dan tidak ada verifikasi kedua menggunakan oracle di blockchain. Mereka langsung mempercayai semua parameter yang diberikan oleh SERVICE_ROLE.

Pencegahan pun tidak memadai

Selain menduga penyebab peretasan, YAM juga menunjukkan bahwa tim proyek kurang siap dalam menghadapi krisis.

YAM di X menyatakan bahwa Resolv Labs baru menangguhkan protokol tiga jam setelah serangan pertama, dan ada sekitar satu jam keterlambatan karena pengumpulan empat tanda tangan yang diperlukan untuk transaksi multi-sig. YAM berpendapat bahwa penghentian darurat seharusnya cukup dengan satu tanda tangan, dan hak aksesnya sebaiknya diberikan kepada anggota tim atau operator eksternal yang terpercaya, sehingga dapat meningkatkan perhatian terhadap anomali di blockchain dan mempercepat penghentian, serta lebih baik dalam mengatasi perbedaan zona waktu.

Meskipun saran bahwa cukup satu tanda tangan untuk menghentikan protokol terdengar cukup ekstrem, kenyataannya, membutuhkan beberapa tanda tangan dari berbagai zona waktu untuk menghentikan protokol bisa menyebabkan penundaan yang berakibat fatal saat keadaan darurat. Menggunakan pihak ketiga yang terpercaya dan terus memantau aktivitas di blockchain, atau menggunakan alat pengawasan dengan hak penghentian darurat, adalah pelajaran penting dari kejadian ini.

Serangan terhadap protokol DeFi tidak lagi terbatas pada celah kontrak. Kasus Resolv Labs memberi peringatan kepada proyek bahwa asumsi keamanan protokol harus didasarkan pada ketidakpercayaan terhadap setiap bagian dari sistem. Semua bagian yang melibatkan parameter harus setidaknya diverifikasi ulang, bahkan backend yang dioperasikan oleh tim proyek sendiri pun tidak terkecuali.