Resolv Labs Bị Tấn Công, Các Dự Án DeFi Lại Một Lần Mữa Bị Lợi Dụng

Resolv Labs, đơn vị phát hành stablecoin USR sử dụng chiến lược trung lập Delta, đã bị tấn công. Một địa chỉ bắt đầu bằng 0x04A2 đã tạo ra 50 triệu USR từ giao thức Resolv Labs bằng 100.000 USDC. Sau khi vụ việc bị phanh phui, giá USR ngay lập tức giảm xuống khoảng 0,25 đô la, trước khi phục hồi lên khoảng 0,80 đô la vào thời điểm viết bài này. Giá token RESOLV cũng giảm gần 10% trong thời gian ngắn.

Sau đó, tin tặc đã sử dụng phương pháp tương tự để tạo ra 30 triệu USR với 100.000 USDC. Khi USR mất giá đáng kể, các nhà đầu cơ chênh lệch giá đã nhanh chóng hành động, và nhiều thị trường cho vay trên Morpho hỗ trợ USR, wstUSR và các tài sản thế chấp khác gần như cạn kiệt. Lista DAO trên chuỗi BNB cũng tạm ngừng các yêu cầu vay mới.

Các giao thức cho vay này không phải là những giao thức duy nhất bị ảnh hưởng. Giao thức Resolv Labs cũng cho phép người dùng tạo ra token RLP, mang lại sự biến động giá lớn hơn và lợi nhuận cao hơn, nhưng cũng khiến họ phải chịu trách nhiệm pháp lý đối với các khoản lỗ phát sinh từ giao thức. Hiện tại, có gần 30 triệu token RLP đang lưu hành, trong đó Stream Finance nắm giữ hơn 13 triệu token, đại diện cho mức rủi ro ròng khoảng 17 triệu đô la. Đúng vậy, Stream Finance, công ty từng chịu tổn thất lớn do xUSD, có thể sắp phải hứng chịu thêm một cú sốc nữa. Tính đến thời điểm viết bài này, hacker đã chuyển đổi USR thành USDC và USDT và tiếp tục mua Ethereum, đã mua được hơn 10.000 đồng. Sử dụng 200.000 USDC, hacker đã thu hồi được hơn 20 triệu đô la tài sản, tìm thấy “đồng tiền sinh lời gấp 100 lần” của mình trong thị trường gấu. Một lần nữa, một kẽ hở đã bị lợi dụng do “thiếu sự chặt chẽ”. Sự sụt giảm mạnh vào ngày 11 tháng 10 năm ngoái đã khiến nhiều stablecoin được phát hành bằng chiến lược Delta-neutral chịu tổn thất tài sản thế chấp do ADL (Tự động giảm đòn bẩy). Một số dự án sử dụng altcoin làm loại tài sản của mình thậm chí còn chịu tổn thất lớn hơn, thậm chí một số dự án còn biến mất hoàn toàn. Resolv Labs, dự án bị tấn công lần này, cũng sử dụng cơ chế tương tự để phát hành USR. Dự án này thông báo vào tháng 4 năm 2025 rằng họ đã hoàn thành vòng gọi vốn hạt giống trị giá 10 triệu đô la do Cyber.Fund và Maven11 dẫn đầu, với sự tham gia của Coinbase Ventures, và ra mắt token RESOLV vào cuối tháng 5 và đầu tháng 6. Tuy nhiên, lý do Resolv Labs bị tấn công không phải do điều kiện thị trường khắc nghiệt, mà là vì cơ chế tạo ra USR “không đủ chặt chẽ”. Hiện chưa có công ty bảo mật hay cơ quan chính thức nào phân tích nguyên nhân của vụ tấn công mạng này. Phân tích sơ bộ của thành viên cộng đồng DeFi YAM cho thấy vụ tấn công có khả năng do tin tặc giành quyền kiểm soát hàm SERVICE_ROLE, được sử dụng trong phần phụ trợ của giao thức để cung cấp các tham số cho hợp đồng tạo tiền điện tử. Theo phân tích của Grok, khi người dùng tạo USR, họ khởi tạo một yêu cầu trên chuỗi và gọi hàm requestMint của hợp đồng, với các tham số bao gồm: _depositTokenAddress: Địa chỉ nơi token được gửi vào; _amount: Số lượng cần lưu trữ; _minMintAmount: Số lượng USR tối thiểu dự kiến ​​nhận được (điểm chống trượt). Sau đó, người dùng gửi USDC hoặc USDT vào hợp đồng. Phần phụ trợ SERVICE_ROLE của dự án giám sát yêu cầu, sử dụng oracle Pyth để kiểm tra giá trị của tài sản đã gửi, và sau đó gọi hàm completeMint hoặc completeSwap để xác định số lượng USR thực tế đã được tạo ra. Vấn đề nằm ở chỗ hợp đồng đúc tiền hoàn toàn tin tưởng vào mintAmount do SERVICEROLE cung cấp, với giả định rằng con số này đã được Pyth xác minh ngoài chuỗi. Do đó, nó không đặt giới hạn trên hoặc xác minh nó với một oracle trên chuỗi, mà trực tiếp thực hiện mint(_mintAmount). Dựa trên điều này, YAM nghi ngờ rằng hacker đã chiếm quyền kiểm soát SERVICE_ROLE, vốn đáng lẽ phải do nhóm dự án kiểm soát (có thể do sự cố hệ thống oracle nội bộ, trộm cắp nội bộ hoặc đánh cắp khóa), và trực tiếp thiết lập _mintAmount thành 50 triệu trong quá trình tạo tiền ảo, từ đó thực hiện cuộc tấn công tạo ra 50 triệu USR với 100.000 USDC. Cuối cùng, Grok kết luận rằng Resolv đã không xem xét khả năng địa chỉ (hoặc hợp đồng) được sử dụng để nhận yêu cầu tạo USR của người dùng có thể bị tin tặc kiểm soát khi thiết kế giao thức. Khi yêu cầu tạo USR được gửi đến hợp đồng cuối cùng tạo ra USR, không có số lượng tạo tối đa nào được thiết lập và hợp đồng tạo USR không sử dụng oracle trên chuỗi để xác minh thứ cấp. Thay vào đó, nó trực tiếp tin tưởng tất cả các tham số được cung cấp bởi SERVICE_ROLE. Công tác phòng ngừa cũng không đầy đủ. Bên cạnh việc suy đoán về nguyên nhân vụ tấn công mạng, YAM cũng chỉ ra sự thiếu chuẩn bị của nhóm dự án trong việc đối phó với khủng hoảng. YAM tuyên bố trên X rằng Resolv Labs chỉ tạm ngừng giao thức ba giờ sau vụ tấn công ban đầu, trong đó khoảng một giờ là do phải thu thập bốn chữ ký cần thiết cho các giao dịch đa chữ ký. YAM tin rằng việc tạm ngừng khẩn cấp chỉ nên yêu cầu một chữ ký, và quyền hạn này nên được giao cho các thành viên nhóm hoặc các nhà điều hành bên ngoài đáng tin cậy bất cứ khi nào có thể. Điều này sẽ tăng cường nhận thức về các bất thường trên chuỗi, cải thiện khả năng tạm ngừng nhanh chóng và bao phủ tốt hơn các múi giờ khác nhau. Mặc dù đề xuất tạm dừng một giao thức chỉ với một chữ ký duy nhất có vẻ hơi cực đoan, nhưng việc yêu cầu nhiều chữ ký từ các múi giờ khác nhau để tạm dừng một giao thức thực sự có thể gây ra sự chậm trễ đáng kể trong các tình huống khẩn cấp. Việc giới thiệu một bên thứ ba đáng tin cậy liên tục giám sát hành vi trên chuỗi, hoặc sử dụng các công cụ giám sát có quyền tạm dừng khẩn cấp, là những bài học rút ra từ sự cố này. Các cuộc tấn công của hacker vào các giao thức DeFi từ lâu đã chỉ giới hạn ở các lỗ hổng hợp đồng. Sự cố Resolv Labs là một lời cảnh báo cho các nhóm dự án: giả định về bảo mật giao thức phải là không thể tin tưởng bất kỳ phần nào của giao thức, và tất cả các liên kết liên quan đến tham số phải trải qua ít nhất hai lần xác minh, ngay cả phần máy chủ do chính nhóm dự án vận hành.