Pasar Beruang "Skenario Klasik" Terulang Lagi, Tinjauan Ulang Insiden "Perampokan Kilat" Resolv Labs dan Peristiwa USR Terlepas dari Jangkar

Penulis: Glendon, Techub News

Pada 22 Maret, pengembang protokol DeFi yang fokus pada pengembangan stablecoin berbasis bunga terdesentralisasi, Resolv Labs, mengalami serangan hacker. Data di blockchain menunjukkan bahwa alamat penyerang yang diawali dengan “0 x04 A2” hanya menyetor 100.000 USDC, namun memanfaatkan celah protokol untuk mencetak 50 juta USR stablecoin. Setelah itu, pelaku yang sama mengulangi aksi dengan menyetor 100.000 USDC lagi dan mencetak 30 juta USR. Selama periode tersebut, resmi dari Resolv Labs mengonfirmasi melalui Twitter bahwa protokol mereka diserang, dan mereka telah menangguhkan semua fungsi protokol serta sedang melakukan pemulihan.

Namun, semuanya sudah terlambat. Total 80 juta USR tanpa jaminan aset telah cepat masuk ke pasar, menyebabkan stablecoin USR kehilangan patokannya secara cepat. Selain itu, karena likuiditas pasar yang menipis, terjadi slippage yang parah selama eksekusi transaksi, semakin memperburuk penurunan USR. Data CoinMarketCap menunjukkan bahwa USR sempat kehilangan patokan hingga sekitar $0,06, dengan penurunan lebih dari 94% (saat ini USR rebound ke sekitar $0,32, namun masih dalam kondisi “kehilangan patokan yang serius”). Perlu dicatat bahwa jalur pencairan dana pelaku serangan sangat jelas dan cepat, seluruh proses selesai dalam beberapa jam. Mereka mengubah USR ilegal yang dicetak menjadi wstUSR, lalu menjual besar-besaran di bursa terdesentralisasi seperti Curve dan Uniswap, menukarnya dengan USDC dan USDT, kemudian menukar stablecoin tersebut dengan Ethereum senilai sekitar $25 juta, dan akhirnya berhasil melakukan “penyucian” keuntungan dari serangan tersebut secara cepat.

Dalam kondisi pasar yang sudah lesu saat ini, serangan terhadap Resolv Labs tentu kembali menekan kepercayaan industri, bahkan disebut sebagai “naskah klasik” dari pasar bearish oleh komunitas kripto. Penyebab utama serangan ini tetap sama, yaitu masalah desain mekanisme pencetakan uang yang sudah lama dibahas, yakni “masalah desain mekanisme pencetakan uang.”

Akar Masalah: Kegagalan Berlapis dalam Mekanisme Pencetakan Uang

Pertama, harus dipahami bahwa sistem stablecoin Resolv mengadopsi struktur dua lapis. USR adalah stablecoin yang dipatok 1:1 terhadap dolar AS, di mana pengguna dapat mencetak USR dengan menyetor ETH atau BTC. Sistem ini menggunakan strategi Delta netral, memungkinkan protokol membuka posisi short perpetual yang setara dengan ETH/BTC yang dimiliki untuk mengimbangi risiko fluktuasi harga, sehingga USR tetap stabil. Pemilik USR juga dapat memperoleh sebagian keuntungan dari protokol dan berpartisipasi dalam penggabungan hasil di DeFi seperti Pendle dan Sommelier.

Selain itu, Resolv memperkenalkan Resolv Liquidity Provider Token (RLP) sebagai “asuransi” sistem, yang digunakan untuk menyerap potensi kerugian dari strategi lindung nilai seperti likuidasi, slippage, dan fluktuasi biaya dana. Dalam serangan ini, RLP juga tidak luput dari kerugian. Menurut data CoinGecko, harga RLP turun dari $1,38 menjadi $0,23, penurunan lebih dari 83%. Saat ini, RLP telah rebound ke $0,98.

Lalu, bagaimana Resolv Labs bisa diserang hacker? Berdasarkan analisis dari perusahaan keamanan PeckShield dan beberapa analis blockchain, akar utama serangan ini terletak pada kelemahan serius dalam kontrol hak akses dan mekanisme verifikasi kontrak pencetakan uang mereka. Pertama, adalah celah fatal dalam kontrol hak akses. Dalam proses normal, pengguna harus menyetor jaminan yang sesuai untuk mencetak USR, dan jumlah pencetakan harus terkait 1:1 dengan nilai jaminan. Namun, pelaku menggunakan hak SERVICE_ROLE untuk melewati verifikasi nilai jaminan, langsung mengatur jumlah pencetakan menjadi angka astronomis, sehingga dapat mencetak 80 juta USR dengan USDC senilai $200.000—operasi leverage sangat tinggi.

Kelemahan desain ini terletak pada fakta bahwa SERVICE_ROLE memiliki kekuasaan langsung menentukan jumlah pencetakan, termasuk “hak super”. Karena protokol tidak menggunakan multisignature atau jaringan penandatangan terdesentralisasi, melainkan bergantung pada satu atau beberapa penandatangan, jika kunci rahasia bocor atau diretas, sistem langsung akan gagal.

Kedua, tidak adanya mekanisme verifikasi jumlah dana di blockchain merupakan risiko keamanan besar. Kontrak pencetakan USR sepenuhnya mempercayai jumlah pencetakan yang diberikan oleh penandatangan off-chain, tanpa membatasi jumlah maksimal di blockchain (misalnya, maksimal 1 juta USR per transaksi) atau menggunakan oracle untuk memverifikasi nilai jaminan dan jumlah pencetakan secara real-time. Artinya, selama pelaku mengendalikan penandatangan off-chain atau memperoleh hak yang diperlukan, mereka dapat mencetak USR sebanyak-banyaknya tanpa memperhatikan kecukupan jaminan. Kurangnya mekanisme verifikasi ini membuka pintu bagi serangan hacker.

Ketiga, risiko tersembunyi dari strategi Delta netral. Resolv menggunakan strategi ini untuk menerbitkan USR, namun kejadian ini mengungkap kelemahan desain strategi tersebut. Strategi Delta netral mengaitkan logika pencetakan uang dengan tanda tangan off-chain dan oracle, yang menjadi titik lemah sistem. Jika penandatangan off-chain atau oracle bermasalah, seluruh mekanisme pencetakan bisa menjadi kacau.

Pada dini hari tadi, Resolv Labs akhirnya merilis pernyataan resmi mengenai penyebab serangan. Mereka menyatakan bahwa serangan berasal dari pihak ketiga yang tidak berwenang, termasuk infiltrasi infrastruktur dan serangan siber. Pelaku berhasil mengakses infrastruktur Resolv secara ilegal melalui kebocoran kunci privat, sehingga sekitar US$8 juta tanpa jaminan berhasil dicetak secara ilegal.

Selain itu, Resolv mengungkapkan bahwa sekitar 9 juta USR yang dimiliki pelaku telah berhasil dihancurkan. Total pasokan USR saat ini terdiri dari 102 juta USR yang sudah ada sebelum kejadian dan sekitar 71 juta USR ilegal yang baru dicetak. Untuk meminimalkan kerugian dan memulihkan keadaan normal, mereka berencana hari ini mengaktifkan kembali fungsi penebusan USR sebelum kejadian, mulai dari pengguna yang masuk daftar putih. Mereka juga menegaskan bahwa aset jaminan dasar mereka tidak langsung terpengaruh, dan sedang melacak serta berusaha mengendalikan USR ilegal dan aset lain yang terdampak.

Langkah ini merupakan upaya awal Resolv Labs untuk membantu pengguna awal dan menunjukkan bahwa mereka berusaha mengurangi kerugian serta mengembalikan dana yang hilang. Namun, kejadian ini sudah memicu reaksi berantai di industri.

Reaksi Berantai dan Pelajaran

Dampak paling langsung dari insiden Resolv Labs tentu adalah terjadinya depeg USR yang parah dan penurunan harga token asli Resolv, RESOLV. RESOLV sempat turun lebih dari 16% ke $0,052. Selain itu, banyak protokol DeFi lain juga terkena dampak. Pool likuiditas USR/USDC di Curve Finance langsung runtuh; pasar pinjaman Morpho yang mendukung USR dan wstUSR sebagai jaminan hampir kosong, dan banyak pengguna menghadapi risiko likuidasi paksa karena USR kehilangan patokannya.

Namun, co-founder Morpho, Paul Frambot, menyatakan melalui Twitter bahwa dampak serangan terhadap Morpho tidak sebesar yang dikabarkan. Serangan ini terutama mempengaruhi USR dan aset terkait (seperti RPL), serta pasar pinjaman yang menggunakan aset tersebut sebagai jaminan. Dari sekitar 500 vault Morpho dengan deposit lebih dari $10.000, sekitar 15 vault memiliki risiko besar terhadap pasar yang terdampak (lebih dari $10.000).

Selain itu, meskipun protokol lain yang terintegrasi dengan Resolv dan ekosistem mitra tidak mengalami dampak besar, mereka terpaksa mengambil langkah darurat untuk melindungi pengguna mereka. Misalnya, protokol manajemen risiko DeFi, Gauntlet, menegaskan bahwa Gauntlet USD Alpha tidak memegang posisi USR atau RLP, dan vault mereka tidak terpengaruh. Mereka sedang berdiskusi dengan Resolv untuk mencari solusi dan sedang menyusun skema kompensasi untuk dana yang tersisa.

Protokol DeFi Fluid menyatakan bahwa tim mereka telah mendapatkan pinjaman jangka pendek yang cukup untuk menutup semua utang buruk saat ini dan memastikan keamanan dana pengguna. Pendiri Aave, Stani.eth, juga menyatakan bahwa protokol mereka tidak memiliki eksposur terhadap stablecoin USR dari Resolv Labs. Resolv hanya berfungsi sebagai penyedia likuiditas yang mendukung aset tersebut di Aave, dan aset tersebut saat ini tetap aman. Protokol lain yang menggunakan USR sebagai aset penghasil bunga, seperti Pendle dan Sommelier, meskipun tidak mengalami kerugian langsung, juga mengalami dampak tidak langsung terhadap hasil dan nilai aset di pool mereka.

Ini sekali lagi mengungkapkan kenyataan keras di ekosistem DeFi: kegagalan satu protokol dapat memicu “runtuh berantai” di protokol lain, terutama ketika suatu aset digunakan secara luas sebagai jaminan. Bahkan jika protokol tersebut tidak diserang secara langsung, mereka tetap terkena dampak reputasi dan bisnis akibat risiko dari proyek terkait.

Selain itu, selama insiden, pelaku menjual USR ilegal secara bertahap ke pool likuiditas USR/USDC di DEX seperti Curve dan Uniswap, menyebabkan fluktuasi harga yang tajam. Karena nilai USR anjlok, penyedia likuiditas tidak hanya mengalami kerugian “impermanent loss”, tetapi juga kerugian modal nyata karena sebagian besar aset yang mereka pegang adalah USR yang kehilangan patokan. Fenomena ini mengungkap kelemahan struktural dari pool likuiditas aset baru dengan volume transaksi kecil atau kedalaman pasar yang kurang, yang tidak mampu menyerap tekanan jual besar secara efisien, sehingga menyebabkan distorsi harga dan risiko sistemik yang cepat menyebar.

Secara lebih luas, insiden Resolv Labs bukan hanya soal keamanan satu proyek, tetapi juga menjadi pukulan berat terhadap kepercayaan investor di pasar kripto, bahkan berpotensi memicu krisis kepercayaan baru terhadap stablecoin. Ketika stablecoin kehilangan patokan dan mengalami masalah keamanan, hal ini dapat menggoyahkan kestabilan seluruh ekosistem, menimbulkan keraguan terhadap keberlanjutan “algorithmic stablecoin” dan “interest-bearing stablecoin”. Bahkan, beberapa investor yang lebih konservatif mungkin mulai menarik dana dari protokol DeFi berisiko tinggi dan beralih ke aset yang lebih matang atau strategi lindung nilai.

Kejadian ini jelas memberi peringatan keras bagi seluruh industri, terutama di tengah pasar kripto yang masih dalam tren bearish dan risiko yang tinggi. Masalah ketergantungan berlebihan pada tanda tangan off-chain dan kurangnya verifikasi di blockchain, yang dianggap sebagai “keruntuhan model kepercayaan”, kembali menjadi sorotan. Hal ini juga mendorong protokol lain untuk mengadopsi mekanisme multisignature, menggunakan oracle seperti Chainlink dan Pyth untuk verifikasi real-time di blockchain, serta mengintegrasikan mekanisme otomatis untuk memutuskan transaksi secara otomatis saat terjadi ancaman, guna meningkatkan keamanan dan ketahanan sistem.

Selain itu, dalam respons darurat, dari pukul 10 hingga 12 siang kemarin, tim Resolv baru menangguhkan protokol setelah lebih dari dua jam serangan terjadi, menunjukkan proses penanganan krisis yang lambat. Ke depan, proyek harus membangun sistem respons cepat dan otomatis untuk mengatasi insiden secara lebih efektif.

Penutup

Hingga saat penulisan ini, Resolv Labs belum mengumumkan skema kompensasi lengkap. Untuk pengguna yang masih memegang USR setelah serangan atau yang mengalami kerugian akibat depeg, serta pemegang token RLP karena nilai asuransi yang tergerus, belum ada rencana kompensasi yang jelas diumumkan. Pasar pun menunggu langkah selanjutnya dari mereka terkait kemungkinan memberikan ganti rugi kepada pengguna yang terdampak.

Kejadian ini memunculkan pertanyaan mendalam: apakah “decentralization” di DeFi benar-benar revolusi dalam arsitektur teknologi, atau hanya rekonstruksi dari model kepercayaan? Ketika keseimbangan antara inovasi dan keamanan terganggu, mungkin satu-satunya jalan adalah kembali ke logika dasar “trust minimal” untuk menemukan keseimbangan yang berkelanjutan antara efisiensi dan risiko.