Lỗi bảo mật tại Resolv Labs đã khiến hacker có thể tạo ra hơn 80 triệu USD USR stablecoin mà không có tài sản đảm bảo. Sự cố này đã khiến token mất peg với đô la Mỹ một cách nghiêm trọng, giảm sâu còn 0.25 USD.
Theo các chuyên gia bảo mật Blockchain tại Cyvers, lỗ hổng này xuất phát từ sai sót trong logic mint token. Dù các hợp đồng đã được kiểm toán, lỗi này vẫn cho phép mint trái phép mà không cần xác thực đúng quy trình.
Vụ tấn công xảy ra sau một thời gian Resolv Labs liên tục bị thất thoát vốn lớn mà chưa rõ nguyên nhân. Theo dữ liệu từ BeInCrypto, vốn hóa của USR giảm mạnh từ khoảng 400 triệu USD đầu tháng 02/2024 xuống còn 100 triệu USD chỉ vài tuần trước khi bị tấn công.
Resolv tạm dừng giao thức sau khi USR giảm xuống còn 0.25 USD
Việc thanh khoản giảm nhanh 75% này đặt ra nghi vấn về việc có thể đã có người nội bộ hoặc nhà đầu tư lớn âm thầm rút vốn trước khi hệ thống sụp đổ.
Theo dữ liệu on-chain, hacker đã dùng khoảng 100,000 USD USD Coin để khai thác lỗ hổng này.
Công ty bảo mật blockchain PeckShield ước tính tổng số USR bị tạo ra không có tài sản đảm bảo lên tới 80 triệu USD. Theo PeckShield, lệnh mint đầu tiên có giá trị 50 triệu USD, sau đó là một lần mint tiếp theo trị giá 30 triệu USD.
Ngay sau đó, kẻ tấn công đã xả toàn bộ số token này vào các pool thanh khoản trên sàn phi tập trung, thu về hơn 24 triệu USD Ethereum.
Dù sự cố ảnh hưởng mạnh đến thị trường, Resolv Labs vẫn khẳng định rằng pool tài sản đảm bảo của họ “vẫn còn nguyên vẹn” và không mất tài sản cơ bản nào. Công ty cho biết ưu tiên hàng đầu hiện tại là bảo vệ người dùng hợp pháp khỏi những hệ lụy của vụ việc này.
Thông điệp của đội ngũ Resolv hoàn toàn ngược lại với thực tế thị trường, khi các nhà đầu tư nhỏ lẻ nắm giữ USR đang chịu khoản lỗ rất lớn sau khi giá giảm 74%. Hiện tại, Resolv đã tạm dừng toàn bộ chức năng của giao thức vô thời hạn.
Các chuyên gia bảo mật cho rằng vụ việc này do lỗi thiết kế hệ thống trầm trọng, không phải là hành động tấn công phức tạp bằng mật mã nâng cao.
“Đây chính là lúc rủi ro stablecoin trở thành vấn đề nghiêm trọng. Việc kiểm toán là chưa đủ nếu bạn không giám sát hoạt động mint và nguồn cung theo thời gian thực. Khi có vấn đề xảy ra mà mình không phát hiện được kịp thời, mọi thứ trở nên nguy hiểm. Tất cả các thao tác trên giao thức phải được giám sát liên tục, mọi bất thường trong việc mint, giá cả hoặc thanh khoản đều cần được xử lý trước khi lan rộng. Đây là cách duy nhất để ngăn chặn các sự cố như thế này trước khi nó vượt khỏi tầm kiểm soát,” CEO & đồng sáng lập Cyvers, Deddy Lavid chia sẻ với BeInCrypto.
Nhà phân tích blockchain Andrew Hong cho biết, chỉ một Externally Owned Address (EOA) cơ bản đã nắm quyền “service role” rất quan trọng trong giao thức này.
Thay vì sử dụng hợp đồng đa chữ ký an toàn, giao thức lại để một khóa cá nhân duy nhất kiểm soát ví crypto quan trọng này.
Bên cạnh đó, nền tảng DeFi YieldsAndMore cũng lưu ý rằng vai trò quản trị này hoàn toàn thiếu các biện pháp kiểm soát bảo mật cơ bản như hạn mức mint tối đa và xác thực giá oracle.
Vì vậy, các chuyên gia cho rằng sự cố lần này nhiều khả năng do bị lộ khóa cá nhân hoặc có thể là hành động từ nội bộ.