Vụ hack USR của Resolv làm sống lại một lỗ hổng DeFi cũ khi kẻ tấn công rút khoảng 25 triệu USD và sự lây lan rủi ro lan rộng trong các giao thức cho vay DeFi

Vụ khai thác liên quan đến Resolv được cho là bắt nguồn từ thiết kế phát hành USR theo cơ chế ký off-chain và thiếu giới hạn đối với lượng mint. Sau khi tạo ra số lượng USR lớn bất thường, kẻ tấn công tiếp tục chuyển dịch tài sản qua nhiều lớp thanh khoản và gây ra tác động lan rộng trong hệ sinh thái cho vay DeFi thông qua việc định giá sai đối với các tài sản gắn với USR.

Chu trình phát hành USR và điểm yếu về giới hạn mint

Theo mô tả, trung tâm của vụ việc là quy trình phát hành USR của Resolv, vận hành theo hai bước với một người ký off-chain.

• Một người dùng gửi USDC 0,9999 USD thông qua hàm requestSwap.
• Sau đó, một khóa đặc quyền có vai trò SERVICE_ROLE được ủy quyền để mint số USR thông qua completeSwap.

Thiết lập này được đánh giá có điểm yếu nghiêm trọng: hợp đồng yêu cầu một lượng tối thiểu ra ngoài (outgoing), nhưng không có giới hạn tối đa đối với lượng có thể được mint. Vì vậy, nếu khóa ký phê duyệt một lượng mint không hợp lý, hợp đồng vẫn thực hiện.

Được cho là kẻ tấn công đã xâm nhập quyền truy cập AWS Key Management Service của Resolv, rồi sử dụng người ký để cấp quyền mint khoảng 80 triệu USR so với số tiền gửi được cho là ở mức thấp. Các hồ sơ on-chain được nhiều nhà phân tích trích dẫn cho thấy có hai lần mint nhanh: một lần 50 triệu USR và lần khác 30 triệu USR.

Kiểm toán không loại bỏ rủi ro cấu trúc

Resolv đã được kiểm toán nhiều lần, nhưng các đánh giá lặp lại không được cho là loại bỏ được rủi ro cốt lõi trong thiết kế. Lý do được nêu là kiểm toán có thể phát hiện vấn đề, song không buộc đội ngũ thiết kế phải thay đổi kiến trúc hoặc củng cố quản trị khóa ở mức cần thiết.

Một chi tiết được nhấn mạnh là cơ chế quản trị có bảo vệ đa chữ ký, trong khi vai trò ký mint lại không. Theo quan điểm được nêu, nếu một khóa có khả năng tạo ra các trách nhiệm hệ thống ở quy mô lớn thì đó là “kho báu”, và việc đặt nó như một tài khoản được sở hữu bên ngoài (EOA) là rủi ro.

Diễn biến sau mint: chuyển qua wstUSR và luân chuyển thanh khoản

Sau khi mint số dư USR phồng lên, kẻ tấn công được cho là đã chuyển sang wstUSR (phiên bản được đóng gói và stake), sau đó luân chuyển thanh khoản qua Curve DAO, Uniswap và Kyber Network Crystal để đưa về Ethereum.

Ví liên quan đến vụ khai thác cuối cùng được cho là nắm giữ khoảng 11.400 ETH, tương đương 24 triệu USD tại thời điểm được phân tích.

Tác động lan rộng: peg suy yếu và định giá tài sản thế chấp

Trong khi đó, bể dự trữ BTC và ETH của Resolv không bị rút sạch ngay lập tức. Điểm khác biệt này được xem là quan trọng: tài sản thế chấp vẫn tồn tại, nhưng niềm tin vào khả năng redeem suy giảm, khiến giá thị trường lệch và peg bị phá vỡ mạnh.

Hệ quả thứ hai xuất hiện khi các giao thức cho vay vẫn chấp nhận USR hoặc wstUSR làm tài sản thế chấp và định giá chúng ở gần 1 USD, bất chấp giá thị trường đã giảm mạnh.

Lỗ hổng DeFi được kích hoạt: coi stablecoin bị lỗi như tài sản bình thường

Vụ hack được mô tả là làm sống lại một lỗ hổng DeFi đã từng xuất hiện: đối xử với một stablecoin bị lỗi như thể mọi thứ vẫn bình thường. Khi giá trên thị trường thứ cấp lệch so với giá oracle, người tham gia có thể mua tài sản thế chấp được chiết khấu, đăng ký với định giá trên chuỗi bị thổi phồng, vay các tài sản mạnh hơn như USDC, và để lại nợ xấu phía sau.

Ông Omer Goldberg của Chaos Labs được dẫn lời cho rằng wstUSR vẫn được đánh dấu gần 1,13 USD ở ít nhất một thiết lập trong khi giao dịch trên thị trường thấp hơn nhiều. Khoảng cách này tạo ra “tiền miễn phí” cho bất kỳ ai khai thác chênh lệch nhanh.

Các cơ chế tương tự được nêu là đã lặp lại trong DeFi suốt năm qua, với việc thay đổi bao bọc và trung tâm giao dịch, nhưng đường lối khai thác vẫn quen thuộc: depeg, oracle chậm, vay quá mức và xã hội hóa mất mát. Morpho, Euler, Fluid và các đối thủ khác cũng từng phải đối mặt với lớp rủi ro này trước đây.

Trong trường hợp Resolv, cáo buộc trọng tâm là tính tương tác giữa các hệ thống: cú sốc ban đầu có thể gây thiệt hại, nhưng mức độ khuếch đại đến từ việc nhiều thị trường cho vay vẫn tin vào các giả định chỉ đúng trong điều kiện bình thường.

Nhận định về động lực thị trường và bài học rút ra

Phần phân tích nêu rằng các đội ngũ thường thích stablecoins trả lãi cao vì hiệu quả vốn và tính gắn kết; các giao thức cho vay thích vì người dùng muốn nhiều lựa chọn tài sản thế chấp; các nhà tích hợp thích vì lợi suất bổ sung giúp tăng TVL. Khi peg còn được giữ, các bên đều có động lực được trả lương.

Điểm bị định giá thấp được nêu là tính phản xạ: khi một sản phẩm đồng đô la tổng hợp hoặc được đóng gói phụ thuộc vào các hoạt động ngoài chuỗi, vai trò đặc quyền, giả định thanh toán và thanh khoản thị trường thứ cấp không còn đảm bảo như một tài sản thế chấp thuần túy. Khi đó, sản phẩm được mô tả như một lớp rủi ro “phủ lên” hình thức đồng đô la ổn định.

Triển vọng theo dõi

Trong bức tranh lớn hơn, các tiêu chí theo dõi được nêu gồm: liệu USR có con đường phục hồi đáng tin cậy hay không; liệu các giao thức bị ảnh hưởng có thể giới hạn nợ xấu ở mức tối đa hay không; và liệu các thị trường cho vay có thắt chặt chuẩn mực đối với tài sản thế chấp ổn định sinh lợi hay không.

Kết luận được nhấn mạnh: nếu một token được gọi là “ổn định” nhưng lại cần niềm tin vào các tác nhân ngoài chuỗi, các cơ chế bao bọc và oracle chậm, thì nên coi đó là tài sản thế chấp rủi ro thay vì tiền mặt kỹ thuật số.