Penyerang pada pukul 2:21 dini hari waktu dunia (UTC) hari Minggu, memanfaatkan celah kontrol akses pada kontrak pencetakan USR dari protokol stablecoin Resolv, dengan mengeluarkan sekitar 200.000 dolar AS dalam USDC untuk mencetak lebih dari 80 juta token tanpa jaminan, dan melalui pertukaran di bursa mencuri sekitar 25 juta dolar AS. USR kemudian langsung jatuh ke harga 0,025 dolar AS di kolam likuiditas utama Curve Finance.
Mekanisme Serangan: Bagaimana kontrak pencetakan disalahgunakan
(Sumber: Etherscan)
Akun X, YieldsAndMore, mencatat transaksi abnormal pertama kali: penyerang menyetor 100.000 USDC ke kontrak USR Counter milik Resolv, tetapi mendapatkan 50 juta USR, sekitar 500 kali lipat dari jumlah normal; kemudian melalui transaksi kedua mencetak tambahan 30 juta USR, sehingga total sekitar 80 juta token.
Analis on-chain, Andrew Hong, mengaitkan akar celah tersebut pada peran hak istimewa SERVICE_ROLE dalam protokol. Peran ini digunakan untuk menyelesaikan permintaan pertukaran, tetapi hanya dikendalikan oleh akun eksternal biasa (EOA), bukan oleh struktur tanda tangan multi yang lebih aman. Selain itu, kontrak pencetakan sama sekali tidak memiliki verifikasi harga dari oracle, batas jumlah, maupun mekanisme batas pencetakan token.
D2 Finance, sebuah dana DeFi, mengusulkan tiga kemungkinan jalur serangan: manipulasi oracle, peretasan penandatangan off-chain, atau ketidakadaan verifikasi jumlah antara permintaan pencetakan dan penyelesaian.
Dampak pasar: Efek pelepasan dari patokan menyebar ke ekosistem pinjaman DeFi
(Sumber: Trading View)
Dalam waktu 17 menit setelah pencetakan selesai, USR di kolam likuiditas Curve Finance jatuh ke harga 0,025 dolar AS, kemudian naik kembali ke sekitar 0,85 dolar AS, tetapi belum sepenuhnya kembali ke patokan. Alamat utama penyerang (dimulai dengan 0x04A2) akhirnya memegang 11.409 ETH (sekitar 23,7 juta dolar AS), dan satu alamat terkait memegang sekitar 1,1 juta dolar AS dalam token wstUSR.
Efek berantai dari pelepasan USR dari patokan
Likuiditas platform pinjaman terganggu: USR dan wstUSR diterima sebagai jaminan oleh Morpho dan Gauntlet. Setelah pelepasan dari patokan, sebagian spekulan membeli USR dengan diskon dan meminjam USDC dengan nilai nominal, mempercepat kekeringan likuiditas vault.
Tekanan pada lapisan asuransi RLP: Sebagai mekanisme penyerapan kerugian, kolam likuiditas Resolv (RLP) sebelum serangan memiliki sekitar 38,6 juta dolar AS dalam dana yang beredar; pemegang terbesar, Stream Finance, memegang 13,6 juta RLP di Morpho, dengan eksposur bersih sekitar 17 juta dolar AS.
Penurunan token tata kelola RESOLV: Terpengaruh oleh insiden ini, harga RESOLV turun sekitar 8,5% dalam 24 jam.
Meskipun Resolv Labs menyatakan bahwa vault jaminan “sepenuhnya utuh,” analis on-chain menunjukkan bahwa serangan ini lebih bersifat inflasi pasokan daripada pencurian langsung jaminan. 80 juta token baru ini mengencerkan pasokan yang ada, dan aksi jual dari penyerang menghancurkan likuiditas. Pengguna yang memegang USR selama serangan telah mengalami kerugian nyata.
Keterbatasan audit keamanan dan tumpang tindih kebijakan regulasi
CEO Cyvers, Deddy Lavid, menyatakan: “Hanya mengandalkan audit tidak cukup; jika tidak memantau secara real-time jumlah pencetakan dan pasokan, kita seperti orang buta di saat kritis.” Situs resmi Resolv mengklaim telah menyelesaikan 14 audit dari lima lembaga dan menetapkan hadiah bug sebesar 500.000 dolar AS melalui program Immunefi.
Insiden ini terjadi pada waktu yang sensitif. Lembaga legislatif AS sedang aktif mendorong regulasi stablecoin berbasis hasil sesuai dengan Genius Act. Beberapa senator kunci telah mencapai kesepakatan prinsip tentang pengelolaan hasil stablecoin sehari sebelum serangan. Selain itu, menurut laporan terbaru Immunefi, rata-rata kerugian dari serangan kripto pada tahun 2026 diperkirakan sekitar 25 juta dolar AS, dan jumlah kerugian dari insiden ini sesuai dengan rata-rata industri.
Pertanyaan umum
Apa jenis stablecoin USR dan mengapa pelepasan dari patokan terjadi?
USR adalah stablecoin dolar yang diterbitkan oleh Resolv Labs, menggunakan strategi hedging delta netral dengan ETH dan BTC sebagai pendukung dasar. Pelepasan dari patokan ini bukan karena kekurangan jaminan, melainkan karena penyerang memanfaatkan celah pencetakan untuk membuat sejumlah besar token tanpa jaminan dan menjualnya secara massal di pasar, menyebabkan kolam likuiditas utama runtuh secara mendadak.
Apa celah teknis utama dari serangan ini?
Celah utama terletak pada akun hak istimewa SERVICE_ROLE yang dikendalikan oleh EOA biasa, dan kontrak pencetakan tidak memiliki verifikasi harga oracle, batas jumlah, maupun batas pencetakan token. Hal ini memungkinkan penyerang mencetak USR hingga 500 kali lipat dari jumlah normal hanya dengan USDC senilai sekitar 200.000 dolar AS.
Risiko kerugian nyata apa yang dihadapi pemilik USR?
Penyerang menjual besar-besaran USR tanpa jaminan, menghancurkan likuiditas secara langsung. Pengguna yang memegang USR selama serangan mengalami kerugian nilai pasar secara langsung. Selain itu, wstUSR digunakan sebagai jaminan di beberapa platform pinjaman DeFi, dan pelepasan dari patokan ini memperburuk struktur likuiditas vault terkait.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
