Stablecoin USR mất peg - Resolv gặp lỗi đúc coin, hacker cuỗm đi 25 triệu USD

Dựa trên báo cáo của nhiều tổ chức an ninh mạng trên chuỗi, vào Chủ nhật, giao thức DeFi Resolv đã bị tấn công lỗ hổng. Hacker đã dùng chi phí cực thấp để đúc ra 80 triệu USR không thế chấp, sau đó bán tháo nhanh chóng và thu về khoảng 25 triệu USD, không chỉ khiến giá USR bị lệch khỏi peg nghiêm trọng mà còn gây ra hiệu ứng domino trên thị trường cho vay. Vụ tấn công này xảy ra vào khoảng 10 giờ 21 phút sáng ngày 22 tháng 3. Dữ liệu trên chuỗi cho thấy, hacker ban đầu gửi vào hợp đồng thông minh của Resolv 100.000 USDC, nhưng đổi lại nhận được tới 50 triệu USR, cao hơn tỷ lệ quy đổi bình thường đến 500 lần. Sau đó, hacker tham lam hơn nữa, qua giao dịch thứ hai đã đúc thêm 30 triệu USR nữa. USR từ @ResolvLabs đang giao dịch ở mức một cent, có người đã đúc 50 triệu USR với 100 nghìn USDC https://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk — YAM 🌱 (@yieldsandmore) ngày 22 tháng 3 năm 2026 Là một loại stablecoin tự xưng có tỷ lệ 1:1 với đô la Mỹ, USR không dựa vào dự trữ tiền pháp định truyền thống mà vận hành dựa trên chiến lược phòng hộ trung lập Delta (Delta-neutral hedging, dùng các vị thế mua bán để đối trọng nhằm loại bỏ rủi ro biến động giá) qua việc sử dụng ETH và Bitcoin để duy trì giá trị. Theo dữ liệu của DEX Screener, sau khi hacker đúc ra lô đầu tiên, USR trong pool thanh khoản lớn nhất của Curve Finance đã giảm giá nhanh chóng xuống còn 0,025 USD trong vòng chưa đầy 17 phút. Dù sau đó giá có hồi phục gần 0,85 USD, nhưng đến thời điểm viết bài, vẫn chưa thể khôi phục về mức peg 1 USD. Hacker rửa tiền thành thạo, chính thức tuyên bố “hệ thống collateral vẫn an toàn” gây tranh cãi Sau khi thành công, hacker (địa chỉ ví bắt đầu bằng 0x04A2) nhanh chóng đổi các USR đúc ra không rõ nguồn gốc này sang USDC, USDT trên các sàn DEX lớn, rồi chuyển toàn bộ sang ETH. Dữ liệu trên chuỗi cho thấy, ví của hacker đã tích trữ tới 11.409 ETH, trị giá khoảng 23,7 triệu USD. Sau khi vụ việc bị phơi bày, Resolv Labs đã phát đi tuyên bố trên nền tảng mạng xã hội X, cho biết đội ngũ đã tạm dừng tất cả các chức năng của giao thức, nhấn mạnh rằng “hệ thống collateral vẫn an toàn”, không mất mát tài sản nền tảng nào, và coi đây chỉ là một lỗ hổng trong cơ chế phát hành USR. Chúng tôi hiện đang điều tra vụ việc an ninh liên quan đến việc đúc USR trái phép. Ở giai đoạn này: Hệ thống collateral vẫn hoàn toàn nguyên vẹn. Không có tài sản nền tảng nào bị mất. Vấn đề dường như chỉ giới hạn trong cơ chế phát hành USR. Ưu tiên hàng đầu của chúng tôi là: 1)… — Resolv Labs (@ResolvLabs) ngày 22 tháng 3 năm 2026 Kiểm soát quyền hạn như bị vô hiệu Dù chính thức cố gắng giảm nhẹ tác động, các chuyên gia an ninh mạng không đồng tình. Nhà phân tích dữ liệu chuỗi, Andrew Hong, chỉ ra rằng lỗ hổng bắt nguồn từ tài khoản đặc quyền xử lý yêu cầu đổi token trong giao thức, gọi là “SERVICE_ROLE”. Thật đáng sốc khi quyền hạn quan trọng như vậy chỉ do một tài khoản bên ngoài bình thường (EOA, tức ví cá nhân) kiểm soát, chứ không phải là một multi-signature wallet an toàn hơn. Thêm vào đó, hợp đồng đúc token còn thiếu các cơ chế xác thực giá từ oracle, kiểm tra số lượng, thậm chí không có giới hạn đúc tối đa. Các quỹ đầu tư DeFi như D2 Finance cũng liệt kê 3 khả năng gây ra vụ tấn công: oracle bị thao túng, người ký off-chain bị xâm nhập, hoặc thiếu quy trình xác nhận số lượng trong quá trình yêu cầu đúc và thực thi. Người đầu tiên phát hiện vụ việc, YieldsAndMore, cũng thở dài rằng, với một giao thức như Resolv có quy mô vốn nhất định, quyền quản lý cốt lõi lại thiếu các biện pháp bảo vệ an ninh tối thiểu. Giám đốc điều hành của công ty an ninh blockchain Cyvers, Deddy Lavid, nhận định: “Đây chính là nơi rủi ro của stablecoin thực sự bộc lộ. Chỉ dựa vào các cuộc kiểm toán hợp đồng định kỳ là không đủ. Nếu không có hệ thống giám sát thời gian thực về việc đúc token và cung ứng, khi khủng hoảng xảy ra, đội ngũ sẽ như bị mù, không thể ứng phó kịp thời.” Tai họa bất ngờ! Lạm phát vô hình tàn phá nhà đầu tư nhỏ lẻ, hiệu ứng domino ảnh hưởng thị trường vay mượn Dù Resolv khẳng định hệ thống collateral “vẫn an toàn” về mặt kỹ thuật, nhưng lời nói này rõ ràng đã đánh giá thấp mức độ nghiêm trọng của vụ việc. Các nhà phân tích chuỗi cho biết, vụ tấn công không trực tiếp “khoắng sạch” kho bạc, mà sử dụng thủ đoạn tinh vi hơn là “làm phình cung” token. 80 triệu token mới xuất hiện từ không khí đã lập tức làm loãng giá trị lưu thông ban đầu, trong khi việc bán tháo của hacker đã rút sạch thanh khoản của các pool. Điều này có nghĩa là, ngay tại thời điểm xảy ra, các nhà đầu tư nắm giữ USR đã bị tàn sát tài sản một cách tàn nhẫn trong chớp mắt. Cơn bão này còn lan rộng nhanh chóng sang các thị trường cho vay DeFi khác. Vì USR và các token phái sinh của nó được nhiều nền tảng cho vay như Morpho, Gauntlet chấp nhận làm tài sản thế chấp, các nhà đầu cơ đã không bỏ lỡ cơ hội, mua USR với giá rẻ trên thị trường, rồi đem thế chấp tại các nền tảng vay, dựa trên giả định cứng nhắc “1 USR = 1 USD” của hệ thống, để vay mượn USDC thật sự lớn. Chiến lược “lấy của người khác trả nợ” này đã làm cạn kiệt thanh khoản của các quỹ cho vay. Đã từng huy động hàng chục triệu USD và trải qua 14 cuộc kiểm toán hàng đầu, nay lại sa sút Thực tế, trước khi bị hacker tấn công, quy mô tài chính của giao thức Resolv đã liên tục thu hẹp. Giá trị thị trường của USR từ đỉnh cao 400 triệu USD vào đầu tháng 2 năm nay đã giảm dần xuống còn khoảng 100 triệu USD trước khi xảy ra vụ việc.