Stablecoin USR mất peg - Resolv gặp lỗi đúc coin, hacker cuỗm đi 25 triệu USD

Dựa trên báo cáo của nhiều tổ chức an ninh mạng trên chuỗi, vào Chủ nhật, giao thức DeFi Resolv đã bị tấn công lỗ hổng. Hacker đã dùng chi phí cực thấp để đúc ra 80 triệu USR không thế chấp, sau đó bán tháo nhanh chóng và thu về khoảng 25 triệu USD, không chỉ khiến giá USR bị lệch khỏi giá trị thực mà còn gây ra hiệu ứng domino trên thị trường cho vay. Vụ tấn công này xảy ra vào khoảng 10 giờ 21 phút sáng ngày 22 tháng 3. Dữ liệu trên chuỗi cho thấy, hacker ban đầu gửi vào hợp đồng thông minh của Resolv 100.000 USDC, nhưng đổi lại nhận được tới 50 triệu USR, cao hơn tỷ lệ quy đổi bình thường đến 500 lần. Sau đó, hacker thèm muốn hơn nữa, lại thực hiện một giao dịch thứ hai để đúc thêm 30 triệu USR nữa. USR từ @ResolvLabs đang giao dịch ở mức một cent, có người đã đúc 50 triệu USR với 100 nghìn USDC pic.twitter.com/fXtjZgxzQk — YAM 🌱 (@yieldsandmore) 22 tháng 3, 2026 Là một loại stablecoin tự hào liên kết 1:1 với đô la Mỹ, USR không dựa vào dự trữ tiền pháp định truyền thống mà vận hành dựa trên chiến lược phòng hộ trung lập Delta (Delta-neutral hedging, dùng các vị thế mua bán để loại bỏ rủi ro biến động giá) qua việc sử dụng Ethereum và Bitcoin để duy trì giá trị. Theo dữ liệu của DEX Screener, sau khi hacker đúc ra số token đầu tiên, USR trong pool thanh khoản lớn nhất của Curve Finance đã giảm giá nhanh chóng xuống còn 0,025 USD chỉ trong vòng 17 phút. Dù sau đó giá tạm thời phục hồi gần 0,85 USD, đến thời điểm viết bài vẫn chưa thể khôi phục về mốc 1 USD. Hacker rửa tiền thành thạo, chính thức tuyên bố “hệ thống collateral vẫn an toàn” gây tranh cãi Sau khi chiếm đoạt được, hacker (địa chỉ ví bắt đầu bằng 0x04A2) nhanh chóng đổi các USR đúc ra này sang USDC, USDT trên các sàn DEX lớn, rồi chuyển toàn bộ sang ETH. Dữ liệu trên chuỗi cho thấy, ví của hacker đã tích trữ tới 11.409 ETH, trị giá khoảng 23,7 triệu USD. Sau khi vụ việc bị phơi bày, Resolv Labs đã phát đi tuyên bố trên nền tảng mạng xã hội X, cho biết đội ngũ đã tạm dừng tất cả các chức năng của giao thức, nhấn mạnh rằng “hệ thống collateral vẫn hoàn toàn nguyên vẹn”, không mất bất kỳ tài sản nền tảng nào, và coi đây chỉ là một lỗ hổng trong cơ chế phát hành USR. Chúng tôi hiện đang điều tra vụ việc an ninh liên quan đến việc đúc USR trái phép. Ở giai đoạn này: Hệ thống collateral vẫn hoàn toàn nguyên vẹn. Không có tài sản nền tảng nào bị mất. Vấn đề dường như chỉ giới hạn ở cơ chế phát hành USR. Ưu tiên hàng đầu của chúng tôi là: 1)… — Resolv Labs (@ResolvLabs) 22 tháng 3, 2026 Quản lý quyền hạn như thể không tồn tại Dù chính thức cố gắng giảm nhẹ tác động, các chuyên gia an ninh mạng vẫn không đồng tình. Nhà phân tích dữ liệu chuỗi, Andrew Hong, chỉ ra rằng lỗ hổng bắt nguồn từ tài khoản đặc quyền xử lý yêu cầu đổi token trong giao thức, gọi là “SERVICE_ROLE”. Thật sốc khi quyền hạn quan trọng như vậy chỉ do một tài khoản bên ngoài bình thường (EOA, tức ví cá nhân) kiểm soát, chứ không phải là một multi-signature wallet an toàn hơn. Thêm vào đó, hợp đồng đúc token còn thiếu các cơ chế xác thực giá từ oracle, kiểm tra số lượng, thậm chí không có giới hạn đúc tối đa. Quỹ đầu tư DeFi, D2 Finance, cũng đưa ra 3 khả năng gây ra vụ việc: oracle bị thao túng, người ký off-chain bị xâm nhập, hoặc thiếu quy trình xác thực số lượng trong quá trình yêu cầu đúc và thực thi. Người đầu tiên tiết lộ vụ việc, YieldsAndMore, cũng thẳng thắn nhận xét rằng, với một giao thức như Resolv có quy mô vốn nhất định, quyền quản lý cốt lõi lại thiếu các biện pháp bảo vệ an toàn tối thiểu. Giám đốc điều hành của công ty an ninh blockchain Cyvers, Deddy Lavid, nói: “Đây chính là nơi rủi ro của stablecoin thực sự bộc lộ. Chỉ dựa vào các cuộc kiểm toán hợp đồng định kỳ là không đủ. Nếu không có hệ thống giám sát thời gian thực về việc đúc token và cung ứng, khi khủng hoảng xảy ra, đội ngũ sẽ như bị mù, không thể ứng phó kịp thời.” Tai họa bất ngờ! Lạm phát vô hình tàn phá nhà đầu tư nhỏ lẻ, hiệu ứng domino ảnh hưởng thị trường vay mượn Dù Resolv khẳng định hệ thống collateral “hoàn toàn nguyên vẹn” về mặt kỹ thuật, nhưng lời nói này rõ ràng đã đánh giá thấp mức độ nghiêm trọng của vụ việc. Nhà phân tích chuỗi cho biết, cuộc tấn công không trực tiếp “khoắng sạch” kho bạc, mà sử dụng thủ đoạn tinh vi hơn là “làm loãng cung” (supply inflation). 80 triệu token mới xuất hiện từ không khí đã nhanh chóng làm loãng giá trị lưu thông ban đầu, trong khi việc bán tháo của hacker đã rút sạch thanh khoản của pool. Điều này có nghĩa là, tại thời điểm xảy ra vụ việc, các nhà đầu tư nắm giữ USR đã bị tước đoạt tài sản một cách tàn nhẫn trong chớp mắt. Cơn bão này còn lan rộng nhanh chóng sang các thị trường DeFi vay mượn khác. Vì USR và các token phái sinh của nó được nhiều nền tảng cho vay như Morpho, Gauntlet chấp nhận làm tài sản thế chấp, các nhà đầu cơ đã không bỏ lỡ cơ hội, mua USR với giá thấp trên thị trường, rồi đem thế chấp tại các nền tảng vay, dựa trên giả định “1 USR = 1 USD” cố định của hệ thống, để vay mượn số USDC thật lớn. Chiến lược “lấy của người khác trả nợ” này đã làm cạn kiệt thanh khoản của các quỹ cho vay. Đã từng huy động hàng chục triệu USD và trải qua 14 lần kiểm toán hàng đầu, nay lại rơi xuống vực thẳm Thực tế, trước khi bị hacker tấn công, quy mô tài chính của giao thức Resolv đã liên tục thu hẹp. Giá trị thị trường của USR từ đỉnh cao 400 triệu USD vào đầu tháng 2 năm nay đã giảm dần xuống còn khoảng 100 triệu USD trước khi vụ việc xảy ra.