Stablecoin Resolv anjlok 70% setelah penyerang berhasil menarik $25 juta dalam bentuk ETH

Stablecoin seharusnya bernilai satu dolar. USR milik Resolv bernilai 27 sen dan perhitungan untuk memperbaikinya tidak berhasil.

Seorang penyerang memanfaatkan celah pada kontrak pencetakan stablecoin USR milik Resolv sekitar pukul 2:21 pagi UTC pada hari Minggu, membuat sekitar 80 juta token tanpa jaminan melalui dua transaksi dan mengambil sekitar $25 juta, menurut beberapa perusahaan keamanan blockchain dan data onchain.

Pelaku serangan kemudian menukar USR yang dicetak dengan USDC dan USDT di berbagai bursa terdesentralisasi, mengonversi hasilnya ke ETH, dan kini memegang 11.409 ETH senilai sekitar $23,7 juta ditambah $1,1 juta dalam wrapped USR di dompet terpisah.

USR, sebuah stablecoin yang dipatok pada dolar dan menggunakan strategi lindung nilai delta-netral yang didukung oleh ETH dan BTC, jatuh ke $0,025 pada pool Curve Finance yang paling likuid dalam waktu 17 menit setelah pencetakan pertama, menurut DEX Screener.

Kemudian pulih kembali ke sekitar $0,85 namun belum mengembalikan pegnya. Pada Senin pagi, perdagangan berada di harga $0,27, turun 72% dalam seminggu.

Penyebab utamanya lebih buruk daripada yang disampaikan oleh pernyataan awal Resolv. Tim menggambarkan insiden tersebut sebagai "kompromi kunci privat" dan "kompromi infrastruktur yang ditargetkan."

Namun analis onchain menemukan bahwa masalah sebenarnya bersifat struktural. SERVICE_ROLE, sebuah akun dengan hak istimewa yang menyelesaikan permintaan swap dalam kontrak pencetakan, dikendalikan oleh satu akun yang dimiliki secara eksternal daripada multisig. Kontrak tersebut tidak memiliki pemeriksaan oracle, validasi jumlah, dan batas maksimum pencetakan.

Penyerang menyetor 100.000 USDC dan menerima 50 juta USR sebagai imbalan, kira-kira 500 kali lipat dari jumlah yang diharapkan, karena tidak ada sistem yang memeriksa apakah rasio tersebut masuk akal.

"Untuk sebagian besar kontrak pintar, pengaturan ini tidaklah tidak biasa," kata Ido Sofer, pendiri perusahaan manajemen kunci kripto Sodot, kepada CoinDesk. "Ada sebuah kunci yang memiliki otoritas atas rincian kontrak – dalam hal ini, untuk pencetakan token, yang sering diabaikan. Titik kegagalan tunggal ini merupakan target menarik bagi ancaman internal dan eksternal."

"Ini sejalan dengan tren serangan yang semakin meningkat yang memfokuskan pada titik buta tim keamanan - kunci sensitif dan kredensial yang tidak langsung memegang dana, tetapi dapat digunakan untuk mengakses dana tersebut. Hal ini mencakup kredensial pengembang, kunci API perdagangan, dan kunci penyebaran lainnya," tambahnya.

Data DeFiLlama menunjukkan bahwa TVL Resolv mencapai puncaknya hampir $684 juta pada Februari 2025 sebelum menurun sepanjang tahun menjadi sekitar $95 juta sebelum terjadi eksploitasi.
Resolv menyatakan bahwa mereka sedang bekerja sama dengan penegak hukum dan perusahaan analitik onchain serta akan "menempuh semua jalur yang tersedia untuk memulihkan aset."

Tim sangat menyarankan untuk tidak melakukan perdagangan USR sementara langkah-langkah pemulihan sedang dilaksanakan, dengan menambahkan bahwa "tindakan pengguna selama periode pasca-eksploitasi dapat mempengaruhi pemulihan."

Koreksi: 6:39 UTC: Versi sebelumnya secara keliru menyebutkan $80 juta sebagai kerugian dalam judul dan isi cerita