Cơ chế USR tiềm ẩn những rủi ro nào? Tại sao nó vẫn chưa an toàn dù đã trải qua 12 cuộc kiểm toán?

Đà Thông, Jinse Finance

Vào ngày 22 tháng 3 năm 2026, một lỗ hổng bảo mật đã xảy ra trong stablecoin Resolv Labs. Một địa chỉ đã sử dụng 100.000 USDC để tạo ra 50.000.000 USR, khiến USR giảm mạnh xuống mức thấp nhất là 0,14498 đô la, giảm 85,502%. Tính đến thời điểm viết bài, giá USR đã phục hồi phần nào, đạt mức 0,3237 đô la, nhưng vẫn chưa được neo giá.

I. Toàn bộ câu chuyện về sự cố mất neo giá của stablecoin Resolv Labs

Hôm qua, nhà phân tích on-chain @ai_9684xtpa đã theo dõi một lỗ hổng trong stablecoin Resolv Labs.

"100.000 USDC Mint đã được sử dụng để tạo ra 50 triệu USR, gấp 500 lần!" Sau đó, Ai giải thích trình tự các sự kiện: 1. 100.000 USDC Mint đã được sử dụng để tạo ra 50 triệu USR; 2. 35 triệu USR đã được chuyển đổi... thành wstUSR; 3. Liên tục trao đổi wstUSR lấy USDC và USDT; 4. Mua ETH bằng USDT, sau khi đã mua số ETH trị giá 4,55 triệu đô la. @OnchainLens đã đăng: Những kẻ tấn công Resolv đã tạo ra số USR trị giá 80 triệu đô la chỉ bằng 200.000 đô la USDC. Sau đó, những kẻ tấn công đã đổi số USR bị đánh cắp lấy wstUSR, rồi lấy USDC và USDT. Hiện tại, họ đã sử dụng 17,24 triệu đô la Mỹ (USDC và USDT) để mua 9.111 ETH. Họ vẫn đang tiếp tục trao đổi USR lấy USDC và USDT và có thể sẽ tiếp tục mua thêm ETH. Gần hai giờ sau bài đăng trên Twitter của Ai Yi, Resolv Labs cuối cùng đã xác nhận vụ tấn công: Resolv đã bị tấn công lỗ hổng bảo mật, và kẻ tấn công đã khai thác điều này để tạo ra 50 triệu token USR không được bảo mật. Nhóm phát triển hiện đã tạm ngừng tất cả chức năng của giao thức để ngăn chặn các hoạt động độc hại tiếp theo và đang tích cực làm việc để khôi phục. Sau đó, Resolv Labs đã đăng tải: Chúng tôi hiện đang điều tra một sự cố bảo mật liên quan đến việc tạo ra USR trái phép. Tình hình hiện tại: Nhóm staking vẫn còn nguyên vẹn và không có tổn thất nào đối với tài sản cơ bản; vấn đề dường như chỉ giới hạn ở cơ chế phát hành USR. Các ưu tiên hiện tại là: kiểm soát phạm vi của sự cố; đánh giá mức độ ảnh hưởng; và đảm bảo rằng người dùng hợp pháp không bị ảnh hưởng. Chúng tôi đang tích cực điều tra và sẽ phát hành các bản cập nhật tiếp theo sớm nhất có thể. Michael Pearl, Phó Chủ tịch Marketing và Chiến lược tại Cyvers, chỉ ra rằng giá trị của các token còn lại đã bị thiệt hại nghiêm trọng do nguồn cung tăng vượt quá tỷ lệ hấp thụ của thị trường, kết hợp với việc token bị tách neo. Dữ liệu trên chuỗi từ Arkham (được công ty bảo mật Web3 Cyvers xác nhận) cho thấy những kẻ tấn công đã đổi hầu hết USR được tạo ra lấy Ethereum. Một phần trong số này đã được bán, tạo ra khoảng 11.400 ETH (khoảng 24 triệu đô la), trong khi USR còn lại "vẫn đang được bán ra". Phản hồi từ các bên tham gia hệ sinh thái khác: Các giao thức DeFi có giao dịch kinh doanh với Resolv đều phủ nhận mọi hành vi sai trái. Giao thức Venus đã đưa ra một tuyên bố: "Do các sự kiện tách neo đang diễn ra, giao dịch trên thị trường Venus Flux USR đã bị tạm dừng. Venus Core không bị ảnh hưởng. Tất cả tiền của người dùng đều an toàn. Chúng tôi đang theo dõi chặt chẽ tình hình và sẽ cập nhật cho bạn khi có thêm thông tin." Công ty nghiên cứu và quản lý rủi ro DeFi Gauntlet cho biết: Vào lúc 10:21 sáng giờ Bắc Kinh hôm nay, hợp đồng USR của Resolv đã bị tấn công… Hầu hết các kho bạc của Gauntlet không bị ảnh hưởng, chỉ một vài kho bạc lợi suất cao đối mặt với rủi ro hạn chế. Chúng tôi đang theo dõi thanh khoản và sẽ tiếp tục cập nhật tiến độ cho các bạn. Euler Labs đã đưa ra tuyên bố: Chúng tôi đã ghi nhận sự cố bảo mật về việc phát hành trái phép USR được Resolv báo cáo. Nhóm đang tích cực điều tra. Như một biện pháp phòng ngừa, chức năng thế chấp RLP trong kho Euler Yield trên Arbitrum đã bị vô hiệu hóa và Euler Earn USDC (Arbitrum) cũng đã ngừng phân bổ tiền cho Euler Yield. Euler Labs cho biết các biện pháp này nhằm mục đích cô lập rủi ro tiềm tàng. Chúng tôi liên tục đánh giá tác động của sự cố và sẽ công bố thêm thông tin cập nhật khi có. Người sáng lập Aave, Stani.eth, đã xác nhận trong một bài đăng trên nền tảng X: Giao thức của Aave không có liên quan đến stablecoin USR của Resolv Labs. Resolv chỉ đóng vai trò là nhà cung cấp thanh khoản, cung cấp tài sản bảo đảm cho giao thức Aave. Tất cả các tài sản liên quan hiện đều an toàn, bản thân tài sản bảo đảm không bị ảnh hưởng, Resolv đã rút lui thành công và bắt đầu trả nợ. Hơn nữa, sự cố này không gây ảnh hưởng xấu đến các nhà cung cấp thanh khoản (LP) của Aave hoặc chính giao thức. Giao thức DeFi Fluid chính thức thông báo: Fluid đã biết về vụ tấn công Resolv. Cơ chế cho vay tự động của Fluid đã ngăn chặn việc vay mượn quá mức, và thị trường USR đã tạm ngừng giao dịch. Tình hình đang được kiểm soát. Nếu còn bất kỳ khoản nợ xấu nào trên Fluid, tất cả người dùng sẽ được bồi thường đầy đủ cho những tổn thất của họ. Bảo mật tiền của người dùng và giao thức là ưu tiên hàng đầu của Fluid, và một cuộc xem xét toàn diện hiện đang được tiến hành. Một báo cáo phân tích chi tiết sau sự cố sẽ được công bố sau khi cuộc điều tra kết thúc. Ngày hôm sau, Fluid tiếp tục tuyên bố: Nhóm đã đảm bảo các khoản vay ngắn hạn đủ để trang trải 100% các khoản nợ xấu hiện tại trong giao thức. Các khoản tiền này đã được Lomashuk, cyberfund, weremeow và nhóm cốt lõi của Fluid cam kết để đảm bảo an toàn cho tiền của người dùng. Resolv Labs đã xác nhận sẽ bù đắp tất cả các vị thế USR được tạo ra trước sự cố bảo mật và sẽ mở các đợt mua lại cần thiết để đóng các vị thế nợ liên quan. Hơn nữa, một số nhà đầu tư đã bày tỏ sự quan tâm đến việc mua FLUID từ Kho bạc nếu cần thêm vốn để tăng cường hơn nữa cơ chế bảo vệ của giao thức. Hợp đồng thông minh Fluid đang hoạt động bình thường, tất cả các thị trường khác đang hoạt động bình thường, các biện pháp bảo vệ của giao thức vẫn có hiệu lực và người dùng có thể trải qua sự biến động lãi suất tạm thời trong thời gian thanh lý. Các sàn giao dịch tiền điện tử Hàn Quốc Bithumb và Upbit đã đưa ra cảnh báo liên quan đến việc giao dịch stablecoin USR, nhắc nhở các nhà đầu tư về các vấn đề bảo mật và biến động giá mạnh, đồng thời kêu gọi họ hết sức thận trọng khi đầu tư vào Resolv.

II. Nguyên nhân vụ tấn công Resolv Labs và các biện pháp khắc phục

Resolv Labs đã chính thức công bố thông tin về nguyên nhân vụ tấn công và các biện pháp khắc phục tiếp theo.

Thông báo này được phát hành thay mặt cho Resolv Digital Assets Ltd. và liên quan đến giao thức Resolv.

Trước đó hôm nay, một kẻ tấn công độc hại đã truy cập trái phép vào cơ sở hạ tầng của Resolv bằng cách sử dụng **khóa riêng bị đánh cắp**, dẫn đến việc tạo ra trái phép khoảng 80 triệu đô la USR không được bảo đảm. Một phân tích toàn diện sau cuộc tấn công hiện đang được tiến hành và kết quả sẽ được công bố sau khi hoàn tất.

Sự cố đã được phát hiện nhanh chóng và các hợp đồng thông minh liên quan đã bị tạm dừng ngay lập tức. Khoảng 9 triệu USR do những kẻ tấn công nắm giữ đã bị phá hủy để giảm thiểu tác động tiềm tàng. Giao thức hiện đang nắm giữ khoảng 141 triệu đô la tài sản và tác động thực sự duy nhất được phát hiện cho đến nay là khoảng 500.000 đô la tiền chuộc được xử lý trước khi tạm dừng. Nguồn cung USR hiện tại bao gồm 102 triệu USR trước sự cố và khoảng 71 triệu token mới được tạo bất hợp pháp. Là bước đầu tiên trong quá trình phục hồi, chúng tôi đang chuẩn bị cho phép chuộc lại tất cả USR được nắm giữ trước sự cố này, ban đầu nhắm mục tiêu vào người dùng được đưa vào danh sách trắng. Ngày bắt đầu dự kiến ​​hiện tại là ngày 23 tháng 3 năm 2026. Người dùng bị ảnh hưởng nên liên hệ trực tiếp với RDAL thông qua các kênh chính thức. Sự cố này do các hành động trái phép của bên thứ ba gây ra, bao gồm xâm nhập cơ sở hạ tầng có chủ đích và các cuộc tấn công mạng. Tài sản thế chấp cơ bản của Resolv không bị xâm phạm trực tiếp. Chúng tôi đang tích cực: • Theo dõi và cố gắng kiểm soát USR được tạo ra bất hợp pháp và các tài sản bị ảnh hưởng khác. • Phối hợp với các đối tác và bên liên quan. • Hợp tác với cơ quan thực thi pháp luật và các công ty phân tích chuỗi khối để xác định những người chịu trách nhiệm. Chúng tôi sẽ thực hiện mọi biện pháp có thể để thu hồi tài sản và đưa những người chịu trách nhiệm ra trước công lý. Chúng tôi đặc biệt khuyên người dùng không nên giao dịch USR hoặc các token Resolv liên quan trong quá trình thu hồi. Bất kỳ hành động nào của người dùng trong giai đoạn sau tấn công đều có thể ảnh hưởng đến việc thu hồi tài sản. Thông tin cập nhật thêm về USR và RLP bất hợp pháp sẽ được công bố sớm. Nhiều người theo dõi đã đặt câu hỏi về sự cố bảo mật này: 0xKeep bình luận: "Phân tích sau sự cố sẽ kết luận: rò rỉ khóa → trao đổi tiền tệ trái phép → tạm dừng khẩn cấp. Chuỗi hoạt động này chỉ xảy ra khi ai đó sở hữu một khóa mạnh như vậy. Vấn đề thiết kế không phải là tốc độ tạm dừng diễn ra như thế nào, mà là liệu nút tạm dừng có nên tồn tại hay không." @Mahirsibli22 chỉ ra: "Việc phát hành trái phép 80 triệu đô la không phải là chuyện nhỏ. Cảm ơn vì thông báo chính thức, nhưng người dùng cần câu trả lời rõ ràng: —Ai đủ điều kiện để được chuộc lại? —Kế hoạch bồi thường đầy đủ là gì? —Thời gian khôi phục là bao lâu? Niềm tin đang bị đe dọa; đừng phản bội nó." @y_nabih chỉ ra: "Vụ 'hack' 80 triệu đô la của Resolv là một trò đùa về các lỗ hổng bảo mật. Một khóa bị rò rỉ có thể phát hành..." 80 triệu đô la Mỹ không có tài sản thế chấp? Giới hạn phát hành thì sao? Chữ ký đa chữ ký thì sao? Khóa thời gian thì sao? Nếu mô hình bảo mật của bạn chỉ đơn giản là "Vui lòng không đánh cắp khóa quản trị viên", thì bạn không đang xây dựng tài chính phi tập trung (DeFi), mà là một cỗ máy in tiền tập trung. @xmr_bt chỉ ra: "Thật nực cười. Chưa đầy một giờ sau sự cố, toàn bộ nền tảng X đã chuyển tiếp tin nhắn này. Ngay cả những người không giao dịch tiền điện tử cũng thấy nó, trong khi nhóm dự án của bạn dường như không nhận thấy gì. Tôi nghi ngờ chính các bạn đang canh giữ kho tiền trong khi ăn cắp." III. Cơ chế của stablecoin USR tiềm ẩn những rủi ro nào? Không giống như USDC sử dụng tiền pháp định làm tài sản thế chấp và DAI sử dụng quá nhiều tài sản thế chấp, USR là một stablecoin dùng để phòng ngừa rủi ro. Cơ chế cốt lõi của stablecoin USR là thế chấp các tài sản tiền điện tử như BTC đồng thời thiết lập các vị thế bán khống phòng ngừa rủi ro trên thị trường phái sinh, tạo thành một "danh mục đầu tư trung lập về giá". Stablecoin USR thu được có cấu trúc miễn nhiễm với sự biến động của thị trường tiền điện tử và hiệu quả về vốn. Thiết kế này đạt được điều đó bằng cách cô lập rủi ro của tài chính tập trung và phi tập trung (CFC) vào một token riêng biệt, có lợi suất cao - RLP (Resolv Liquidity Provider). Nói cách khác, rủi ro được mã hóa và cung cấp cho thị trường rộng lớn hơn. Việc cô lập rủi ro này cho phép USR được hỗ trợ hoàn toàn bởi các tài sản trên chuỗi. Tuy nhiên, điểm yếu nằm ở sự phụ thuộc mạnh mẽ vào "tính chính xác của việc thực thi hệ thống". Trang web của Resolv cho biết RLP tận dụng đầu tư vào thị trường tiền điện tử; nó có thể kết hợp và tích hợp vào toàn bộ hệ thống DeFi; và nó hoạt động như một lớp bảo hiểm, bảo vệ sự ổn định của USR. Nói cách khác, RLP là lớp bảo hiểm, ưu tiên bồi thường tổn thất; USR là tài sản ưu tiên, ưu tiên chuộc lại. Tuy nhiên, cơ chế này chỉ hiệu quả đối với rủi ro thị trường và không hiệu quả đối với vấn đề phát hành không giới hạn. Do đó, một khi tin tặc có được khóa riêng, chúng có thể phát hành số lượng USR không giới hạn, dẫn đến nguồn cung không kiểm soát và sự mất giá nhanh chóng.

IV. Tại sao Resolv Labs vẫn không an toàn dù đã trải qua 12 cuộc kiểm toán?

Resolv Labs đã trải qua 12 cuộc kiểm toán, cuộc kiểm toán gần đây nhất là vào tháng 1 năm 2026, được thực hiện bởi MixBytes. "Cuộc kiểm toán này sử dụng kết hợp giữa việc xem xét mã thủ công, các công cụ phân tích tĩnh và các thực tiễn bảo mật tốt nhất. Chúng tôi đã xem xét tỉ mỉ một danh sách kiểm tra chi tiết bao gồm logic nghiệp vụ, các vấn đề ERC20 phổ biến, tương tác với các hợp đồng bên ngoài, tràn số nguyên, tấn công tái nhập, kiểm soát truy cập, bẫy chuyển đổi kiểu, lỗi làm tròn và các vấn đề tiềm ẩn khác… **Không tìm thấy lỗ hổng nào.**" Pashov, một công ty bảo mật đã kiểm toán mô-đun đặt cược của Resolv vào tháng 7 năm ngoái, chỉ ra rằng thiết kế của Resolv "rất tốt", và nguyên nhân gốc rễ "ít là lỗi thiết kế hơn là rò rỉ khóa riêng tư", có khả năng là một lỗ hổng bảo mật hoạt động. "Chúng tôi phải tìm hiểu xem chuyện này xảy ra như thế nào." Rõ ràng, bất kể số lượng cuộc kiểm toán được thực hiện, trọng tâm vẫn là "bảo mật mã nguồn", chứ không phải "bảo mật vận hành". Không nhóm kiểm toán nào quan tâm đến việc liệu khóa riêng có bị rò rỉ hay quyền truy cập có bị xâm phạm hay không. Các vấn đề như ai nắm giữ quyền quản trị, liệu có sử dụng lưu trữ ngoại tuyến hay không, và liệu có sử dụng chữ ký đa chữ ký hay không đều bị bỏ qua. Điều này trực tiếp dẫn đến việc rò rỉ khóa riêng trở thành rủi ro bảo mật cao nhất. Kiểm toán có thể dự đoán các rủi ro mã nguồn trong tương lai, nhưng không thể ngăn chặn các vấn đề như rò rỉ khóa riêng, hoạt động độc hại nội bộ và các cuộc tấn công DevOps. Mã nguồn có thể an toàn, nhưng hoạt động của hệ thống lại không an toàn. Nhìn vào sự cố bảo mật của Resolv Labs, rủi ro lớn nhất trong DeFi đã chuyển từ "lỗ hổng hợp đồng thông minh" sang "bảo mật quyền truy cập và vận hành".

12 cuộc kiểm toán của Resolv Labs

Về tác động của lỗ hổng này đối với ngành công nghiệp tiền điện tử, nó ít gây thiệt hại hơn nhiều so với vụ trộm Balancer năm ngoái (vụ trộm Balancer đã gây ra sự sụp đổ thị trường, với BTC giảm 2,6% trong 24 giờ và ETH giảm 5,6% trong 24 giờ). Giám đốc công nghệ hiện tại của Ledger cho biết: "Với quy mô của đợt chào bán này và vốn hóa thị trường của USR, đây không phải là một sự kiện lớn như sự cố Terra Luna." Cộng đồng người dùng kỳ cựu trong lĩnh vực DeFi @yieldsandmore đã chỉ ra rằng việc mất mát tiềm tàng phần RLP thứ cấp của Resolv làm nổi bật những tác động dây chuyền tiềm tàng đối với các nền tảng lợi suất sử dụng RLP làm tài sản thế chấp, chẳng hạn như Stream và yoUSD. Dựa trên dữ liệu hiện có, rủi ro dường như "tập trung tương đối" vào thị trường cho vay và các vòng lặp đòn bẩy, "thay vì mang tính hệ thống", chủ yếu ở các giao thức tích hợp USR, wstUSR hoặc RLP vào các chiến lược cho vay, đòn bẩy hoặc lợi suất. Một số sàn giao dịch, bao gồm Euler, Venus, Lista và Fluid, đã thực hiện các biện pháp phòng ngừa như tạm ngừng giao dịch hoặc tách biệt các kho tiền, trong khi những sàn khác tuyên bố không có rủi ro nào cả. "Chính xác hơn là mô tả rủi ro là sự lan rộng cục bộ, tập trung hơn là sự lan rộng trên diện rộng."

Ngoài ra, trên Polymarket, trong dự đoán "Liệu stablecoin có tách rời trước năm 2027?", "kỳ vọng" của người đặt cược đối với USR là hoàn toàn "cao nhất". Chưa rõ ai sẽ là người tiếp theo được chú ý sau USR...