Stablecoin USR sụp peg sau cú hack mint 80 triệu token “ảo”

Lỗ hổng nghiêm trọng khiến USR bị mint vượt kiểm soát

Thị trường DeFi tiếp tục chao đảo khi stablecoin USR của Resolv bất ngờ mất neo giá sau một cuộc tấn công nghiêm trọng vào cơ chế phát hành token. Theo nhiều công ty bảo mật blockchain, kẻ tấn công đã khai thác lỗ hổng trong smart contract để tạo ra khoảng 80 triệu USR không có tài sản đảm bảo, qua đó rút ra khoảng 25 triệu USD.

Vụ việc bắt đầu vào khoảng 2:21 sáng (UTC), khi một địa chỉ ví thực hiện giao dịch bất thường: nạp 100.000 USDC vào contract nhưng nhận lại tới 50 triệu USR, cao gấp hàng trăm lần mức hợp lý. Ngay sau đó, một giao dịch khác tiếp tục mint thêm 30 triệu USR, nâng tổng số token “in khống” lên 80 triệu.

Đây là cú sốc lớn đối với một stablecoin vốn được thiết kế để neo giá 1 USD.

USR lao dốc chỉ trong vài phút

Ngay sau khi lượng cung USR tăng đột biến, thị trường phản ứng gần như ngay lập tức. Trên pool thanh khoản chính của Curve Finance, giá USR đã giảm mạnh xuống chỉ còn 0,025 USD trong vòng chưa đầy 20 phút.

Mặc dù sau đó giá có phục hồi lên quanh mức 0,85 USD, stablecoin này vẫn chưa thể quay lại mốc neo 1 USD trong thời gian ngắn. Biến động này khiến nhiều nhà đầu tư gần như không kịp trở tay, đặc biệt là những người đang nắm giữ hoặc sử dụng USR trong các giao thức DeFi.

Cách thức kẻ tấn công rút tiền khỏi hệ thống

Sau khi mint lượng lớn USR không có tài sản đảm bảo, kẻ tấn công nhanh chóng hoán đổi số token này sang USDC và USDT thông qua các sàn giao dịch phi tập trung. Số tiền sau đó được chuyển đổi sang ETH để tránh bị đóng băng.

Dữ liệu on-chain cho thấy ví chính của hacker hiện đang nắm giữ hơn 11.400 ETH, tương đương khoảng 23,7 triệu USD. Ngoài ra, một ví liên quan khác còn giữ khoảng 1,1 triệu USD dưới dạng token wstUSR.

Chiến thuật này cho thấy kẻ tấn công có sự chuẩn bị kỹ lưỡng và hiểu rõ cách tận dụng thanh khoản trong hệ sinh thái DeFi.

Nguyên nhân: kiểm soát truy cập yếu và thiếu cơ chế bảo vệ

Các nhà phân tích on-chain cho rằng nguyên nhân gốc rễ của vụ việc nằm ở hệ thống kiểm soát truy cập lỏng lẻo. Một vai trò quan trọng trong giao thức, được gọi là SERVICE_ROLE, lại được kiểm soát bởi một ví cá nhân thay vì cơ chế đa chữ ký (multisig).

Ngoài ra, hợp đồng mint USR thiếu nhiều lớp kiểm tra quan trọng như xác minh dữ liệu oracle, giới hạn số lượng mint và kiểm tra tính hợp lệ của giao dịch. Điều này tạo điều kiện để kẻ tấn công thao túng quy trình phát hành token.

Một số chuyên gia nhận định rằng vụ việc có thể liên quan đến việc oracle bị thao túng, khóa ký bị lộ hoặc đơn giản là hệ thống không có cơ chế kiểm soát lượng token được tạo ra.

Người nắm giữ USR chịu thiệt hại nặng nề

Dù Resolv tuyên bố rằng pool tài sản thế chấp vẫn “nguyên vẹn”, thực tế thiệt hại đối với người dùng là rất lớn. Không giống các vụ hack truyền thống, cuộc tấn công này không rút trực tiếp tài sản thế chấp mà làm “phình to” nguồn cung.

Việc thêm 80 triệu USR vào lưu thông đã làm pha loãng giá trị của toàn bộ hệ thống. Khi hacker bán tháo lượng token này, thanh khoản bị rút cạn, khiến giá sụp đổ.

Không chỉ vậy, sự cố còn lan sang các giao thức lending. USR từng được chấp nhận làm tài sản thế chấp trên nhiều nền tảng như Morpho hay Gauntlet. Một số trader đã tận dụng chênh lệch giá để mua USR giá rẻ và vay stablecoin khác theo định giá 1 USD, gây thêm áp lực lên thanh khoản toàn hệ.

Rủi ro lan rộng sang các lớp bảo hiểm DeFi

Tác động của vụ việc không dừng lại ở stablecoin USR. Resolv còn vận hành một lớp bảo hiểm rủi ro thông qua token RLP, vốn được thiết kế để hấp thụ tổn thất cho hệ thống.

Trước thời điểm bị hack, RLP có tổng giá trị lưu hành khoảng 38,6 triệu USD. Một trong những holder lớn nhất là Stream Finance — dự án từng ghi nhận khoản lỗ 93 triệu USD vào cuối năm 2025.

Hiện Stream đang nắm giữ khoảng 17 triệu USD giá trị RLP, đồng nghĩa với việc người dùng của giao thức này có thể tiếp tục chịu thêm thiệt hại đáng kể.

Vụ hack nối dài chuỗi sự cố DeFi năm 2026

Sự cố của Resolv diễn ra trong bối cảnh các cuộc tấn công DeFi ngày càng gia tăng cả về tần suất lẫn quy mô. Trước đó, Truebit đã mất 26,6 triệu USD do lỗ hổng smart contract, trong khi Makina Finance thiệt hại khoảng 5 triệu USD vì bị thao túng oracle bằng flash loan.

Một báo cáo gần đây cho thấy thiệt hại trung bình của mỗi vụ hack crypto hiện đã lên tới khoảng 25 triệu USD. Đáng chú ý, chỉ một số ít vụ tấn công lớn đã chiếm phần lớn tổng giá trị tài sản bị đánh cắp trong giai đoạn 2024–2025.

Vụ việc của Resolv cũng diễn ra đúng thời điểm các nhà lập pháp Mỹ đang thảo luận về khung pháp lý cho stablecoin sinh lợi, làm gia tăng áp lực kiểm soát đối với lĩnh vực này.

Tín hiệu cảnh báo cho toàn bộ thị trường stablecoin

Vụ sụp peg của USR một lần nữa cho thấy rủi ro tiềm ẩn trong các mô hình stablecoin phức tạp, đặc biệt là những dự án không dựa hoàn toàn vào tài sản fiat mà sử dụng chiến lược phòng hộ hoặc cấu trúc tài chính phái sinh.

Dù Resolv đã trải qua nhiều đợt audit và triển khai chương trình bug bounty, lỗ hổng vẫn tồn tại trong các thành phần cốt lõi của hệ thống. Điều này đặt ra câu hỏi lớn về hiệu quả thực sự của các quy trình bảo mật hiện tại trong DeFi.

Trong bối cảnh dòng tiền vẫn đang đổ vào crypto, những sự cố như USR có thể trở thành lời nhắc nhở mạnh mẽ rằng rủi ro hệ thống vẫn chưa hề biến mất.

Đọc thêm: