Resolv Bị Tấn Công Bởi Hacker: Cách Một Khóa Bị Rò Rỉ Dẫn Đến 23 Triệu USD Được Đúc Trái Phép

Viết bài: Chainalysis

Biên dịch: AididiaoJP, Foresight News

Ngày 22 tháng 3 năm 2026, Resolv DeFi protocol trở thành ví dụ mới nhất, thể hiện rõ tốc độ mà lĩnh vực DeFi có thể rơi vào khủng hoảng khi giả định về an toàn thất bại. Trong vòng vài phút, một hacker đã đúc hàng chục triệu USR stablecoin thiếu đảm bảo thế chấp, và rút ra khoảng 25 triệu USD giá trị, khiến giá USR giảm mạnh và buộc protocol phải tạm dừng hoạt động.

Nhìn qua có vẻ đây là một vụ lỗ hổng hợp đồng thông minh. Tuy nhiên, thực tế không phải vậy. Cách hoạt động của mã nguồn liên quan hoàn toàn phù hợp với thiết kế ban đầu.

Thực chất, đây là một sự cố do quá tin tưởng vào hạ tầng ngoài chuỗi gây ra. Khi hệ thống DeFi ngày càng phức tạp và phụ thuộc nhiều vào dịch vụ bên ngoài, khóa đặc quyền và hạ tầng đám mây, phạm vi tấn công đã vượt xa phạm vi của chính blockchain.

Bài viết sẽ tổng hợp quá trình diễn ra sự kiện và ảnh hưởng của nó, đồng thời thảo luận sâu hơn: Khi các thành phần ngoài chuỗi bị xâm phạm, chỉ có cơ chế phát hiện và phản ứng mối đe dọa trên chuỗi theo thời gian thực mới có thể đóng vai trò như lớp phòng thủ cuối cùng quan trọng, giúp phân biệt rõ ràng giữa các sự kiện kiểm soát được và các lỗ hổng khai thác gây thiệt hại hàng triệu USD.

Tổng quan sự kiện

Hacker ban đầu gửi vào một khoản nhỏ (khoảng 100.000 đến 200.000 USD USDC) và dùng số này để tương tác với hệ thống đúc USR của Resolv. Trong trường hợp bình thường, người dùng gửi USDC sẽ nhận lại USR tương đương giá trị. Nhưng trong vụ này, hacker đã đúc thành công khoảng 80 triệu USR, vượt xa giới hạn hợp lý dựa trên số tiền gửi.

Nguyên nhân xảy ra là do bước phê duyệt đúc dựa vào một dịch vụ ngoài chuỗi, sử dụng một khóa riêng đặc quyền để cấp phép số lượng USR đúc. Tuy nhiên, hợp đồng thông minh liên quan không đặt giới hạn cho số lượng đúc — chỉ kiểm tra tính hợp lệ của chữ ký.

Sau khi đúc ra USR không có thế chấp, hacker nhanh chóng chuyển đổi sang dạng token thế chấp wstUSR, rồi dần dần đổi sang các stablecoin khác và cuối cùng rút ra ETH. Tính đến thời điểm kết thúc vụ tấn công, hacker đã thu lợi khoảng 25 triệu USD ETH. Lượng USR không thế chấp đột nhiên tràn vào thị trường, khiến giá token này giảm khoảng 80%.

Sau khi rõ kết quả, phần tiếp theo sẽ phân tích chi tiết về thiết kế thiếu sót trong quá trình đúc đã tạo điều kiện cho vụ tấn công này.

Quy trình đúc token của Resolv bình thường

Để hiểu rõ nguyên nhân vụ tấn công, cần nắm rõ cơ chế đúc của Resolv.

Khi người dùng muốn đúc token gốc của Resolv là USR, quá trình tương tác không phải là một cơ chế hoàn toàn tự trị trên chuỗi, mà gồm hai bước ngoài chuỗi:

requestSwap — Người dùng gửi USDC vào hợp đồng USR Counter và gửi yêu cầu đúc.

completeSwap — Một dịch vụ ngoài chuỗi do khóa đặc quyền SERVICE_ROLE kiểm soát sẽ xem xét yêu cầu và xác nhận số lượng USR cuối cùng qua callback hợp đồng.

Trên hợp đồng chỉ quy định số lượng USR tối thiểu được đúc ra, không có giới hạn tối đa. Trên chuỗi không kiểm tra tỷ lệ giữa số lượng tài sản thế chấp gửi vào và số lượng USR đúc ra, cũng không tích hợp các cơ chế giới hạn như oracle giá, giới hạn tổng cung hoặc tỷ lệ đúc tối đa. Nói cách khác, mọi số lượng được ký bởi khóa này đều có thể được đúc.

Chi tiết các bước tấn công

Bước 1: Chiếm quyền truy cập môi trường AWS KMS của Resolv

Hacker xâm nhập hạ tầng đám mây của Resolv, thành công lấy được quyền truy cập vào môi trường AWS KMS chứa các khóa ký đặc quyền của giao thức. Khi kiểm soát được KMS, hacker có thể dùng khóa đúc của Resolv để cấp phép cho các thao tác đúc bất hợp pháp theo ý muốn.

Bước 2: Đúc USR

Sau khi có khóa ký, hacker thực hiện hai yêu cầu swap, mỗi lần gửi một khoản USDC nhỏ, tổng cộng khoảng 100.000 đến 200.000 USD, phân tán qua nhiều giao dịch. Sau đó, hacker dùng khóa SERVICE_ROLE gọi hàm completeSwap, điền số lượng đúc giả mạo, cho phép đúc hàng chục triệu USR chỉ với số USDC bỏ ra rất nhỏ.

Trên chuỗi đã xác định hai giao dịch chính:

• Đúc 50 triệu USR

• Đúc 30 triệu USR

Tổng cộng đúc 80 triệu USR, trị giá khoảng 25 triệu USD.

Bước 3: Sử dụng wstUSR để tránh giới hạn thanh khoản

Hacker chuyển USR thành wstUSR, một token phái sinh đại diện phần của pool staking, có giá trị không cố định tỷ lệ với USR. Việc này giúp tránh tác động trực tiếp lên thị trường USR, chuyển vị thế sang dạng tài sản có tính thanh khoản thấp hơn nhưng dễ thay thế hơn.

Bước 4: Rút tiền và thoát

Dựa trên wstUSR, hacker đổi sang stablecoin, rồi đổi sang ETH, dùng các pool thanh khoản DEX và cầu chuỗi chéo để chuyển tiền, tối đa hóa số tiền rút và khó theo dõi.

Tính đến thời điểm viết bài, hacker vẫn còn giữ:

• Khoảng 11.400 ETH (tương đương 24 triệu USD)

• Khoảng 20 triệu wstUSR (theo giá sau khi tách rời, trị giá khoảng 130.000 USD)

Ảnh hưởng tới người sở hữu USR

Sự kiện này gây thiệt hại trực tiếp và nghiêm trọng cho người sở hữu USR.

Hàng chục triệu USR không thế chấp mới đúc ra liên tục tràn vào các pool thanh khoản của sàn DEX. Khi cung tăng đột biến, giá USR so với USD sụp đổ nhanh chóng. Token này từng giảm xuống còn 0.20 USD, giảm 80%, rồi sau vài giờ phục hồi lên khoảng 0.56 USD.

Sau sự kiện, Resolv Labs phát đi thông báo tạm dừng tất cả chức năng của protocol để tránh thiệt hại thêm, đồng thời bắt đầu điều tra vụ xâm nhập. Vì hacker vẫn đang cố đúc thêm USR, hành động kịp thời để ngăn chặn thiệt hại mở rộng là điều tất yếu, cho thấy tầm quan trọng của phản ứng nhanh trong các cuộc tấn công kiểu này.

Chính sách an toàn vững chắc cần dựa trên giả định rằng luôn có lỗ hổng

Dù Resolv đã thực hiện đầy đủ các biện pháp an toàn thông thường và đã qua 18 lần kiểm tra bảo mật, vụ tấn công này về bản chất là câu chuyện đơn giản: hacker lấy được khóa, dùng khóa đó đúc tài sản trái phép, rồi bán tháo trước khi các bên liên quan phát hiện.

Tuy nhiên, sâu xa hơn, sự kiện này cho thấy cách các giao thức DeFi kế thừa các giả định an toàn và rủi ro tiềm tàng từ hạ tầng ngoài chuỗi của mình. Trong khi hợp đồng thông minh trên chuỗi hoạt động đúng theo thiết kế, thì toàn bộ hệ thống và hạ tầng ngoài chuỗi bị xâm phạm lại chưa đạt tiêu chuẩn an toàn tương ứng.

Trong bối cảnh các vụ khai thác lỗ hổng thường chỉ diễn ra trong vài phút, và khi thiệt hại rõ ràng thì đã quá muộn để phản ứng thụ động, cơ chế giám sát theo thời gian thực và phản ứng tự động đã trở thành yếu tố không thể thiếu, đóng vai trò như lớp phòng thủ cuối cùng, giúp phân biệt rõ ràng giữa kiểm soát được và không kiểm soát được.

Phân tích phòng ngừa qua ví dụ Hexagate

Vụ tấn công của Resolv minh chứng rõ ràng cho tầm quan trọng của cơ chế giám sát chuỗi theo thời gian thực. Nếu sử dụng Hexagate của Chainalysis, hai phương án cụ thể sau đây có thể đã phát hiện sớm:

Phương án 1: Giám sát các sự kiện đúc bất thường

Cấu hình Hexagate để theo dõi các cuộc gọi hàm completeSwap, đặc biệt chú ý đến tỷ lệ giữa số lượng USR đúc và tài sản thế chấp gửi vào. Ví dụ, một khoản gửi USDC 10.000 USD nhưng được phép đúc 50 triệu USR là bất thường vượt quá mọi giới hạn bình thường. Có thể thiết lập cảnh báo khi tỷ lệ đúc vượt quá 1.5 lần mức bình thường, giúp phát hiện sớm các giao dịch chính.

Cơ chế giám sát tùy chỉnh của Hexagate có thể tự động kích hoạt phản ứng, như tạm dừng hợp đồng khi phát hiện hành vi bất thường trong quá trình đúc USR của Resolv.