Resolv Labs đã thực hiện một bản nâng cấp hợp đồng trên chuỗi vào ngày 6 tháng 4 năm 2026 để vĩnh viễn đốt cháy 36,73 triệu token wstUSR và stUSR vốn nằm dưới sự kiểm soát của một kẻ tấn công, qua đó giới hạn khoản lỗ ròng ước tính của giao thức từ vụ khai thác ngày 22 tháng 3 ở khoảng $34 triệu.
Kẻ tấn công đã dùng một khóa riêng bị xâm phạm được lưu trên AWS để đúc 80 triệu token USR không được hỗ trợ, chỉ với $100.000 đến $200.000 làm tài sản thế chấp, hoán đổi 34 triệu USR lấy 11.409 ETH (trị giá khoảng $24,5 triệu) trước khi thanh khoản cạn kiệt, trong khi các token còn lại được đốt bởi bản nâng cấp của giao thức.
Resolv Dùng Bản Nâng Cấp Hợp Đồng Để Xóa Token Của Kẻ Tấn Công
Giao dịch nâng cấp đã được xác nhận trên chuỗi, trước tiên đã gỡ gói stUSR thành USR rồi gửi cả hai đến địa chỉ không (zero address), khiến các token không thể truy cập được bởi bất kỳ ai, kể cả kẻ tấn công. Trước đó, Resolv đã tạm dừng giao thức và đưa ra phần thưởng white-hat 10%, nhưng kẻ tấn công không tỏ ra quan tâm đến một giải pháp hòa bình, khiến nhóm phải thực thi quyền nâng cấp của mình để hủy các token còn lại.
Vụ khai thác xảy ra vào ngày 22 tháng 3 năm 2026, khi một kẻ tấn công sử dụng một khóa riêng duy nhất bị xâm phạm được lưu trên AWS và kiểm soát SERVICE_ROLE để phê duyệt hai lệnh đúc lớn. Giao thức đã phát hành 80 triệu token USR không được hỗ trợ mặc dù kẻ tấn công chỉ nạp $100.000 đến $200.000 USDC làm tài sản thế chấp. Kẻ hacker nhanh chóng hoán đổi 34 triệu USR lấy 11.409 ETH, xấp xỉ $24,5 triệu tại thời điểm đó, trước khi thanh khoản bị sử dụng hết. Các token còn lại nằm bất động trong ví của kẻ khai thác, phần lớn được bọc (wrapped) dưới dạng wstUSR.
Việc mất giá (depeg) phát sinh từ hành động của kẻ tấn công đã khiến USR rơi xuống thấp nhất $0,025 trên Curve. Bản nâng cấp hợp đồng của Resolv trong quá khứ đã bị chỉ trích như một rủi ro tập trung hóa, tương tự như những cơ chế (levers) từng được cân nhắc bởi các dự án khác như Flow, nhưng nước đi này đã thành công trong việc giới hạn tổng thiệt hại ước tính của giao thức ở khoảng $34 triệu.
Các Giao Thức DeFi Chịu “Vệt Tác Động” Từ Vụ Khai Thác Resolv
Các giao thức DeFi có phơi nhiễm với các kho (vault) của Resolv đã bị cuốn vào “vệt tác động” (blast radius). Các vault của Morpho đã hấp thụ hàng triệu USD nợ xấu, kích hoạt các đợt rút tiền ồ ạt. Trading Strategy, một nền tảng phân tích DeFi, ghi nhận rằng nhiều vault trở nên kém thanh khoản do bị xâm phạm khóa riêng của Resolv, khiến tài sản thế chấp mất giá trị chỉ trong một đêm. Một số vault Morpho bất ngờ hiển thị lợi suất cao, nhưng các vault đó lại kém thanh khoản, và người gửi tiền khó có khả năng rút được.
Các nhà quản lý/quản trị tốt (curators) đã ngăn gửi tiền mới bằng cách đặt giới hạn gửi tối đa về 0, nhưng tiêu chuẩn vault không có cờ (flag) riêng cho “vault bị hỏng”, chỉ có “đã đạt công suất tối đa”. Trading Strategy đang đưa danh sách đen thủ công các vault có vấn đề, nhưng quy trình này cần thời gian.
Mẫu Tấn Công DeFi Diện Rộng Tiếp Diễn Với Drift Và Balancer
Vụ khai thác Resolv bổ sung thêm vào một mô hình ảm đạm về các vụ hack DeFi quy mô lớn. Chỉ vài tuần trước Resolv, Balancer Labs, công ty vì lợi nhuận đứng sau automated market maker tiên phong, đã công bố việc đóng cửa sau khi mất $128 triệu trong một cuộc tấn công vào tháng 11 năm 2025. CEO của Balancer cho biết có các hệ lụy pháp lý kéo dài và tổn thất tài chính từ vụ hack, vốn đã làm cạn các nhóm thanh khoản (liquidity pools) thông qua các tương tác vault bị thao túng. Balancer DAO và giao thức vẫn còn tồn tại, nhưng công ty phát triển cốt lõi về thực chất đã kết thúc.
Tháng 4 năm 285Mắt đầu với việc Drift Protocol báo cáo khoản lỗ $285 triệu vào ngày 1 tháng 4, liên quan đến các hacker được nhà nước Bắc Triều Tiên hậu thuẫn. Với Resolv, việc công bố con số lỗ cuối cùng là $34 triệu tạo ra một mốc phục hồi rõ ràng, mua thêm thời gian cho giao thức mà Balancer không có. Các hoạt động vẫn đang tạm dừng.
Câu Hỏi Thường Gặp
Vụ khai thác Resolv đã xảy ra như thế nào?
Một kẻ tấn công đã xâm phạm một khóa riêng được lưu trên AWS, kiểm soát SERVICE_ROLE, từ đó cho phép chúng đúc 80 triệu token USR không được hỗ trợ chỉ với $100.000–$285Mài sản thế chấp. Chúng hoán đổi 34 triệu USR lấy 11.409 ETH (≈$24,5 triệu) trước khi thanh khoản bị cạn. Sau đó, Resolv đã đốt cháy 36,73 triệu token còn lại thông qua một bản nâng cấp hợp đồng.
Khoản lỗ ước tính cuối cùng cho Resolv là bao nhiêu?
Khoản lỗ ròng của Resolv vào khoảng $34 triệu. Kẻ tấn công đã rút ra khoảng $24,5 triệu dưới dạng ETH, và bản nâng cấp của giao thức đã ngăn các khoản lỗ tiếp theo bằng cách tiêu hủy các token mà kẻ tấn công nắm giữ còn lại.
Những giao thức DeFi nào khác đã bị ảnh hưởng bởi các vụ hack gần đây?
Balancer Labs đã đóng cửa sau một vụ hack trị giá $128 triệu vào tháng 11 năm 2025, và Drift Protocol chịu một vụ khai thác trị giá $285 triệu vào ngày 1 tháng 4 năm 2026. Các vault của Morpho cũng đã hấp thụ nợ xấu từ sự cố Resolv, trở nên kém thanh khoản và gây ra các đợt rút tiền ồ ạt.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
