Dùng 20 vạn để đổi lấy gần 1 tỷ, stablecoin DeFi lại bị tấn công

Viết bài: Eric, Foresight News

Khoảng 10:21 theo giờ Bắc Kinh hôm nay, Resolv Labs, sử dụng chiến lược trung tính Delta để phát hành stablecoin USR, đã bị hacker tấn công. Địa chỉ bắt đầu bằng 0x04A2 đã sử dụng 100.000 USDC để đúc ra 50 triệu USR từ giao thức Resolv Labs.

Sau khi vụ việc bị phơi bày, giá USR đã giảm xuống gần 0,25 USD, đến thời điểm viết bài đã phục hồi lên khoảng 0,8 USD. Giá token RESOLV cũng giảm gần 10% trong thời gian ngắn.

Sau đó, hacker tiếp tục sử dụng 100.000 USDC để đúc thêm 30 triệu USR. Với sự mất giá lớn của USR, các nhà arbitrage nhanh chóng hành động, nhiều thị trường cho vay hỗ trợ USR, wstUSR làm tài sản thế chấp trên Morpho đã gần như bị rút sạch, Lista DAO trên BNB Chain cũng tạm dừng các yêu cầu vay mới.

Không chỉ các giao thức cho vay bị ảnh hưởng. Trong thiết kế của giao thức Resolv Labs, người dùng còn có thể đúc một loại token RLP có biến động giá lớn hơn, lợi nhuận cao hơn, nhưng phải chịu trách nhiệm bồi thường thiệt hại khi giao thức gặp tổn thất. Hiện RLP có gần 30 triệu token lưu hành, người nắm giữ lớn nhất là Stream Finance với hơn 13 triệu RLP, rủi ro ròng khoảng 17 triệu USD.

Đúng vậy, có thể Stream Finance, đã từng gặp sự cố với xUSD trước đó, sẽ lại bị tổn thất lần nữa.

Tính đến thời điểm viết bài, hacker đã chuyển đổi USR thành USDC và USDT, đồng thời liên tục mua ETH, đã mua hơn 10.000 ETH. Hacker đã dùng 200.000 USDC để đổi lấy tài sản trị giá hơn 20 triệu USD, trong thời kỳ thị trường giảm, hacker đã tìm ra “đồng coin tỷ lần” phù hợp với TA của mình.

Một lần nữa bị lợi dụng do “thiếu cẩn trọng”

Vụ giảm giá mạnh ngày 11 tháng 10 năm ngoái khiến nhiều stablecoin phát hành theo chiến lược trung tính Delta bị thiệt hại do ADL (tự động giảm đòn bẩy). Một số dự án sử dụng altcoin làm tài sản thế chấp còn thiệt hại nặng hơn, thậm chí bỏ chạy.

Lần này, Resolv Labs cũng sử dụng cơ chế tương tự để phát hành USR. Dự án này đã công bố hoàn thành vòng gọi vốn seed trị giá 10 triệu USD vào tháng 4 năm 2025, do Cyber.Fund và Maven11 dẫn đầu, Coinbase Ventures tham gia, và đã ra mắt token RESOLV vào cuối tháng 5 hoặc đầu tháng 6.

Tuy nhiên, nguyên nhân bị tấn công không phải do thị trường cực đoan, mà là do cơ chế đúc USR của dự án chưa đủ chặt chẽ.

Hiện chưa có công ty an ninh hoặc chính thức nào phân tích rõ nguyên nhân vụ tấn công này. Cộng đồng DeFi qua phân tích sơ bộ của YAM kết luận: khả năng cao là do SERVICE_ROLE của hợp đồng đúc token bị hacker kiểm soát, dẫn đến tấn công.

Theo phân tích của Grok, khi người dùng đúc USR, họ sẽ gửi yêu cầu trên chuỗi và gọi hàm requestMint của hợp đồng, với các tham số gồm:

_depositTokenAddress：địa chỉ token gửi vào;

_amount：số lượng gửi;

_minMintAmount：số lượng USR tối thiểu mong đợi nhận được (để tránh trượt giá).

Sau đó, người dùng gửi USDC hoặc USDT vào hợp đồng, phía backend của dự án theo dõi yêu cầu này, sử dụng oracle Pyth để kiểm tra giá trị tài sản gửi vào, rồi gọi hàm completeMint hoặc completeSwap để quyết định số USR thực tế đúc ra.

Vấn đề nằm ở chỗ, hợp đồng đúc hoàn toàn tin tưởng vào _mintAmount do SERVICE_ROLE cung cấp, cho rằng con số này đã được xác thực qua Pyth trên chuỗi, nên không đặt giới hạn tối đa, cũng không có xác thực từ oracle trên chuỗi, và trực tiếp thực thi mint(_mintAmount).

Dựa trên đó, YAM nghi ngờ hacker đã kiểm soát SERVICE_ROLE, vốn dự kiến do dự án kiểm soát (có thể do oracle nội bộ mất kiểm soát, tự lấy trộm hoặc bị đánh cắp khóa), và khi đúc, đã đặt _mintAmount là 50 triệu, thực hiện tấn công đúc 50 triệu USR bằng 100.000 USDC.

Tóm lại, Grok kết luận rằng, khi thiết kế giao thức, Resolv không tính đến khả năng hacker kiểm soát địa chỉ (hoặc hợp đồng) nhận yêu cầu đúc của người dùng. Khi yêu cầu đúc USR gửi đến hợp đồng cuối cùng, không đặt giới hạn tối đa, cũng không dùng oracle chuỗi để xác thực lần hai, mà chỉ tin tưởng tất cả tham số do SERVICE_ROLE cung cấp.

Phòng ngừa cũng chưa đủ

Ngoài việc phân tích nguyên nhân bị tấn công, YAM còn chỉ ra rằng dự án thiếu chuẩn bị đối phó khủng hoảng.

YAM trên X cho biết, Resolv Labs chỉ tạm dừng giao thức sau 3 giờ kể từ lần tấn công đầu tiên, trong đó khoảng 1 giờ là do phải thu thập 4 chữ ký của multi-sig. YAM cho rằng, việc tạm dừng khẩn cấp chỉ cần một chữ ký, và quyền này nên phân bổ cho nhóm hoặc các bên vận hành đáng tin cậy, để tăng khả năng phản ứng nhanh với các bất thường trên chuỗi, và phù hợp hơn với các múi giờ khác nhau.

Dù đề xuất chỉ cần một chữ ký để tạm dừng có vẻ hơi quá mức, nhưng trong tình huống khẩn cấp, việc phải chờ nhiều chữ ký từ các múi giờ khác nhau có thể gây chậm trễ lớn. Việc đưa vào các bên thứ ba đáng tin cậy, liên tục giám sát hành vi trên chuỗi, hoặc dùng các công cụ giám sát có quyền tạm dừng khẩn cấp, đều là những bài học rút ra từ sự kiện này.

Các cuộc tấn công vào giao thức DeFi đã không còn giới hạn ở lỗ hổng hợp đồng nữa, và vụ việc của Resolv Labs cảnh báo dự án rằng: trong an ninh giao thức, giả định không thể tin tưởng bất kỳ phần nào, tất cả các bước liên quan đến tham số đều phải ít nhất xác thực lần hai, kể cả backend do chính dự án vận hành.