Lỗ hổng Resolv biến 10.000 USD thành 25 triệu USD, kéo stablecoin lợi suất USR mất neo và gây khủng hoảng DeFi lending

Theo The Block đưa tin ngày 23 (giờ địa phương), một lỗ hổng trong giao thức *từ*Resolv* đã biến khoảng 10.000 đô la Mỹ (khoảng 14,9 triệu đồng) thành 25 triệu đô la Mỹ (khoảng 372 tỷ đồng) chỉ trong 17 phút. Đây là vụ tấn công liên quan đến *từ*stablecoin* mang lại lợi suất, làm sụp đổ cấu trúc cốt lõi của hệ thống và nhanh chóng lan sang nhiều giao thức DeFi khác.

Giao thức *từ*Resolv* đã lập tức tạm dừng hợp đồng thông minh, nhưng stablecoin neo theo đô la Mỹ của dự án là USR lại rơi vào tình trạng mất neo (depeg) nghiêm trọng. Giá USR từ mức xấp xỉ 1 đô la lao dốc xuống gần mức “penny” trước khi hồi nhẹ, hiện chỉ còn quanh 0,25 đô la, tương đương mức giảm hơn 70% trong vòng một tuần.

Hệ quả không dừng lại ở một giao thức đơn lẻ. Nền tảng DeFi Fluid/Instadapp phải gánh hơn 10 triệu đô la nợ xấu liên quan đến USR và ghi nhận hơn 300 triệu đô la bị rút ròng chỉ trong một ngày. Có 15 vault trên Morpho bị ảnh hưởng trực tiếp, trong khi Euler, Venus, ListDAO và Inverse Finance cũng buộc phải tạm ngừng các thị trường liên quan đến USR và wstUSR để ngăn rủi ro lan rộng.

*từ*Hacking* trong *từ*Resolv* cho thấy rủi ro đến từ chính cơ chế phát hành USR. Người dùng gửi USD Coin(USDC) vào giao thức, sau đó một khóa ký off-chain mang tên “SERVICE_ROLE” sẽ phê duyệt lượng USR phát hành. Cấu trúc này chỉ đặt ra ngưỡng phát hành tối thiểu nhưng lại không hề giới hạn trần tối đa.

Khai thác điểm yếu này, kẻ tấn công được cho là đã chiếm đoạt khóa ký thông qua hệ thống quản lý khóa AWS, gửi vào khoảng 100.000–200.000 đô la, rồi phát hành tới 80 triệu USR. Dữ liệu on-chain cho thấy hai giao dịch lớn, lần lượt 50 triệu và 30 triệu USR, được đúc trong vòng vài phút.

Nhà phân tích on-chain Vadim (@zacodil) nhận định đây không phải “bug” trong code mà là “tính năng” hoạt động đúng như thiết kế, và đó mới là vấn đề cốt lõi. Hệ thống của *từ*Resolv* đã trải qua tới 18 đợt kiểm toán, nhưng việc không đặt giới hạn phát hành cho khóa SERVICE_ROLE đã từng được nêu ra mà không được xử lý triệt để.

Sau khi đúc lượng lớn USR, kẻ tấn công chuyển chúng sang phiên bản staking wstUSR, rồi lần lượt hoán đổi qua các pool trên Curve, Uniswap và KyberSwap để rút về Ethereum(ETH). Theo ước tính on-chain, ví liên quan đến vụ việc hiện còn nắm giữ khoảng 11.400 ETH, tương đương hơn 24 triệu đô la.

Điểm đáng chú ý là các pool tài sản thế chấp cốt lõi bằng Bitcoin(BTC) và Ethereum(ETH) của *từ*Resolv* về mặt kỹ thuật không bị xâm phạm. Thiệt hại đến từ việc phát hành trái phép USR và cú sốc thanh khoản kéo theo trên thị trường thứ cấp.

Kịch bản này nhanh chóng biến thành một cuộc khủng hoảng *từ*DeFi lending*. Khi USR và wstUSR mất giá mạnh, một số giao thức cho vay vẫn tiếp tục định giá chúng ở mức gần 1 đô la thông qua *từ*oracle* bị “đóng băng”. Tổng giám đốc Chaos Labs, Omer Goldberg, cho biết có thời điểm thị trường giao dịch wstUSR ở quanh 0,63 đô la, nhưng hệ thống oracle vẫn tính theo mức 1,13 đô la.

Khoảng chênh lệch này trở thành cơ hội cho các trader chênh lệch giá. Họ gom wstUSR với giá rẻ trên thị trường mở, sau đó dùng làm tài sản thế chấp để vay USDC với giá trị vẫn được oracle đánh giá cao hơn nhiều so với giá thực tế, rồi rút vốn khỏi hệ thống, để lại lỗ hổng lớn trong các pool cho vay.

Fluid đã phải huy động nguồn vốn ngắn hạn để bù đắp toàn bộ thiệt hại cho người dùng, trong khi Morpho ghi nhận tổn thất chủ yếu tại các vault chiến lược dài hạn có mức rủi ro cao. Cách thức lựa chọn và giám sát các vault này làm dấy lên tranh cãi về năng lực quản lý rủi ro của đội ngũ “curator”.

*bình luận* Các mô hình “curator” – nơi một nhóm được ủy quyền lựa chọn chiến lược và tài sản cho người dùng – vốn được kỳ vọng sẽ tăng tính chuyên nghiệp cho DeFi. Tuy nhiên, vụ *từ*Resolv* cho thấy khi curator không kiểm soát tốt rủi ro oracle và rủi ro depeg, cơ chế này có thể trở thành điểm yếu mới thay vì lớp bảo vệ bổ sung.

Trong một số vault, ngay cả sau khi giá USR và wstUSR bắt đầu sụt giảm, các bot tự động vẫn tiếp tục bơm vốn của người dùng vào chiến lược liên quan, khiến thiệt hại phình to. Việc “tự động hóa sai chỗ” đã biến một cú sốc có thể kiểm soát thành một lỗ hổng hệ thống.

Mô hình rủi ro này không phải lần đầu xuất hiện trong không gian *từ*stablecoin* lợi suất. Theo tổng hợp từ các đơn vị phân tích on-chain, từ sự cố của Usual Protocol hồi tháng 1 năm 2025, cú sập của Stream Finance vào tháng 11 cùng năm, cho tới loạt lỗi oracle liên tiếp tại Moonwell, điểm chung đều là việc cố định giá các stablecoin đã mất neo ở mức 1 đô la trong các giao thức cho vay.

Cơ chế “đóng băng giá” này được thiết kế để giảm nhiễu do biến động ngắn hạn, nhưng khi *từ*depeg* thực sự xảy ra, nó lại vô tình che giấu rủi ro, khiến hệ thống không phản ánh kịp thực tế thị trường và mở ra cơ hội tấn công bằng vay thế chấp.

Công ty phân tích Chainalysis đánh giá trong báo cáo gần đây rằng các hợp đồng thông minh cốt lõi vẫn vận hành “đúng thiết kế”, nhưng kiến trúc hệ thống và hạ tầng off-chain – bao gồm quản lý khóa, oracle và cơ chế giám sát – đã không đáp ứng được yêu cầu an toàn. Đơn vị này nhấn mạnh nhu cầu triển khai các hệ thống giám sát on-chain theo thời gian thực để kịp thời phát hiện những hành vi phát hành bất thường và sai lệch giá nghiêm trọng.

Cuối cùng, vụ *từ*Resolv* đang được xem là minh chứng điển hình cho các giới hạn mang tính cấu trúc của *từ*stablecoin* lợi suất và mô hình quản lý rủi ro dựa trên curator. Khi thị trường *từ*DeFi* tiếp tục mở rộng, các rủi ro “ẩn” trong thiết kế – từ khóa ký off-chain không được giới hạn, oracle thiếu khả năng cập nhật, tới quy trình curator không đủ minh bạch – đang lập lại theo chu kỳ và có thể đe dọa tới toàn bộ hệ sinh thái nếu không được xử lý tận gốc.