Thị trường gấu "kịch bản kinh điển" diễn ra lần nữa, phân tích lại sự kiện "cướp phá kiểu tia chớp" của Resolv Labs và sự kiện USR mất giá

Viết bài: Glendon，Techub News

Ngày 22 tháng 3, nhà phát triển giao thức DeFi chuyên phát triển stablecoin sinh lời phi tập trung Resolv Labs đã bị tấn công bởi hacker. Dữ liệu trên chuỗi cho thấy, địa chỉ tấn công bắt đầu bằng “0 x04 A2” chỉ gửi vào 100.000 USDC, sau đó lợi dụng lỗ hổng của giao thức để tạo ra 50 triệu USR stablecoin. Tiếp đó, kẻ tấn công lặp lại chiêu cũ, dùng thêm 100.000 USDC để tạo ra 30 triệu USR. Trong thời gian này, chính thức từ Resolv Labs đã đăng tweet xác nhận rằng giao thức bị tấn công, đội ngũ đã tạm dừng tất cả chức năng của giao thức và đang tiến hành khôi phục.

Tuy nhiên, mọi chuyện đã quá muộn. Tổng cộng 80 triệu USR không có tài sản thế chấp đã nhanh chóng tràn vào thị trường, khiến stablecoin USR mất peg nhanh chóng. Đồng thời, do thiếu thanh khoản trên thị trường, quá trình thực hiện giao dịch gặp phải trượt giá nghiêm trọng, làm trầm trọng thêm sự giảm giá của USR. Dữ liệu từ CoinMarketCap cho thấy, USR từng mất peg xuống khoảng 0,06 USD, giảm hơn 94% (hiện USR đã phục hồi lên khoảng 0,32 USD, vẫn trong trạng thái “mất peg nghiêm trọng”). Đáng chú ý, đường đi của kẻ tấn công để rút tiền rõ ràng và nhanh chóng, toàn bộ quá trình chỉ trong vài giờ đã hoàn tất. Hắn chuyển USR tạo ra bất hợp pháp thành wstUSR rồi bán tháo lớn tại các sàn DEX như Curve, Uniswap, đổi lấy USDC và USDT, sau đó đổi các stablecoin này thành khoảng 25 triệu USD ETH, cuối cùng thành công thực hiện một vụ “cướp nhanh” nhằm rửa tiền từ lợi nhuận của vụ tấn công.

Trong bối cảnh thị trường vốn đã ảm đạm, vụ tấn công của Resolv Labs chắc chắn lại một lần nữa làm giảm niềm tin của ngành, thậm chí được cộng đồng tiền mã hóa gọi là “kịch bản kinh điển” của thị trường gấu. Nguyên nhân của vụ tấn công vẫn là vấn đề “thiết kế cơ chế phát hành tiền” cũ rích.

Nguồn gốc lỗ hổng: Ba lần thất thủ của cơ chế phát hành tiền

Trước tiên, cần làm rõ rằng hệ thống stablecoin của Resolv sử dụng cấu trúc hai lớp. USR là loại stablecoin gắn 1:1 với đô la Mỹ, người dùng có thể tạo USR bằng cách gửi ETH hoặc BTC, theo chiến lược Delta trung tính, cho phép giao thức mở vị thế short vĩnh viễn có giá trị tương đương ETH/BTC để chống lại rủi ro biến động giá, từ đó giữ cho USR ổn định. Chủ sở hữu USR còn có thể nhận phần lợi nhuận do giao thức tạo ra, và tham gia vào các hoạt động lợi nhuận tập hợp trong các giao thức DeFi như Pendle, Sommelier.

Ngoài ra, Resolv còn giới thiệu Token Nhà cung cấp Thanh khoản Resolv (RLP) như một “bể bảo hiểm” của hệ thống, để hấp thụ các khoản lỗ tiềm năng từ chiến lược phòng hộ như thanh lý, trượt giá, biến động phí vốn. Trong vụ tấn công này, RLP cũng không thoát khỏi. Theo dữ liệu của CoinGecko, giá RLP đã giảm từ 1,38 USD xuống còn 0,23 USD, giảm hơn 83%. Hiện tại, RLP đã phục hồi lên 0,98 USD.

Vậy, Resolv Labs đã bị hacker tấn công như thế nào? Theo phân tích của các công ty an ninh mạng PeckShield và nhiều nhà phân tích trên chuỗi, nguyên nhân chính là do quyền kiểm soát hợp đồng phát hành tiền của họ và cơ chế xác thực có những thiếu sót nghiêm trọng trong thiết kế. Thứ nhất, là lỗ hổng quyền kiểm soát nghiêm trọng. Trong quy trình bình thường, người dùng muốn phát hành USR cần gửi tài sản thế chấp phù hợp, và số lượng phát hành phải liên kết 1:1 với giá trị của tài sản thế chấp. Nhưng kẻ tấn công đã lợi dụng quyền SERVICE_ROLE để bỏ qua bước kiểm tra giá trị tài sản thế chấp, trực tiếp đặt số lượng phát hành thành một con số khổng lồ, từ đó thực hiện thao tác tạo ra 80 triệu USR bằng 200.000 USD USDC với đòn bẩy cực cao.

Thiết kế này có điểm yếu là, SERVICE_ROLE có quyền quyết định trực tiếp số lượng phát hành, thuộc dạng “siêu quyền”. Vì hệ thống không dùng multi-sig hoặc mạng ký tập trung phân quyền, mà dựa vào một hoặc vài người ký, nên nếu khóa bí mật bị lộ hoặc bị tấn công, hệ thống sẽ ngay lập tức mất kiểm soát.

Thứ hai, thiếu cơ chế kiểm tra số tiền trên chuỗi là một nguy cơ an ninh lớn. Hợp đồng phát hành của Resolv hoàn toàn tin tưởng vào số lượng phát hành do người ký bên ngoài cung cấp, không đặt giới hạn tối đa trên chuỗi (ví dụ, không cho phép phát hành tối đa 1 triệu USR trong một lần), cũng không dùng oracle để kiểm tra giá trị tài sản thế chấp và số lượng phát hành theo thời gian thực. Điều này có nghĩa là, chỉ cần kẻ tấn công kiểm soát được người ký bên ngoài hoặc có quyền tương ứng, họ có thể tự do phát hành USR mà không cần quan tâm đến đủ tài sản thế chấp hay không. Chính thiếu cơ chế kiểm tra này đã tạo điều kiện cho vụ tấn công xảy ra.

Thứ ba, chiến lược Delta trung tính tiềm ẩn rủi ro. Resolv sử dụng chiến lược Delta trung tính để phát hành USR, nhưng vụ việc này cũng cho thấy điểm yếu của chiến lược này. Chiến lược Delta trung tính khiến cho logic phát hành của hệ thống phụ thuộc sâu vào các chữ ký bên ngoài và oracle, những điểm này chính là các mặt yếu nhất của hệ thống, một khi người ký hoặc oracle gặp vấn đề, toàn bộ cơ chế phát hành có thể rối loạn.

Vào sáng ngày hôm nay, chính thức Resolv Labs đã đăng bài giải thích nguyên nhân vụ tấn công. Theo đó, vụ việc bắt nguồn từ hành vi trái phép của bên thứ ba, bao gồm xâm nhập cơ sở hạ tầng và tấn công mạng. Hacker đã truy cập trái phép vào hạ tầng của Resolv bằng cách lộ khóa riêng, dẫn đến khoảng 80 triệu USD USR không có tài sản thế chấp bị tạo ra trái phép.

Cũng trong bài, Resolv tiết lộ rằng khoảng 9 triệu USR đã bị hacker tiêu hủy thành công. Tổng cung USR hiện tại gồm 102 triệu USR đã tồn tại trước vụ việc và khoảng 71 triệu USR mới bị tạo ra trái phép. Để giảm thiểu thiệt hại và khôi phục trật tự, họ dự kiến hôm nay sẽ kích hoạt chức năng rút USR trước khi xảy ra vụ việc, bắt đầu từ các người dùng đã được đưa vào danh sách trắng. Đồng thời, họ nhấn mạnh rằng tài sản thế chấp nền tảng của Resolv không bị ảnh hưởng trực tiếp, đang theo dõi và cố gắng kiểm soát các USR tạo ra trái phép cùng các tài sản bị ảnh hưởng khác.

Biện pháp này là bước đầu Resolv Labs thực hiện để bồi thường cho người dùng ban đầu, thể hiện nỗ lực giảm thiểu thiệt hại và thu hồi vốn. Tuy nhiên, vụ việc này đã gây ra phản ứng dây chuyền trong ngành.

Phản ứng dây chuyền và bài học rút ra

Ảnh hưởng trực tiếp nhất của vụ Resolv Labs là USR mất peg nghiêm trọng và giá token RESOLV của Resolv giảm mạnh. RESOLV từng giảm hơn 16%, xuống còn 0,052 USD. Ngoài ra, nhiều giao thức DeFi khác cũng bị ảnh hưởng. Pool USR/USDC trên Curve Finance sụp đổ ngay lập tức; thị trường cho vay hỗ trợ USR, wstUSR làm tài sản thế chấp trong Morpho gần như bị xóa sạch, nhiều người dùng đối mặt với nguy cơ bị thanh lý bắt buộc do USR mất peg.

Tuy nhiên, đồng sáng lập Morpho, Paul Frambot, hôm nay đã đăng tweet nói rằng, ảnh hưởng của vụ tấn công Resolv Labs đến Morpho không lớn như đồn đoán. Vụ việc chủ yếu ảnh hưởng đến USR và các tài sản liên quan (như RPL), cũng như các thị trường cho vay dựa trên các tài sản này. Trong khoảng 500 kho tiền của Morpho có số dư trên 10.000 USD, chỉ khoảng 15 kho có rủi ro lớn trong thị trường bị ảnh hưởng (trên 10.000 USD).

Ngoài ra, các giao thức khác tích hợp với Resolv hoặc đối tác hệ sinh thái chưa bị ảnh hưởng đáng kể, nhưng buộc phải thực hiện các biện pháp khẩn cấp để bảo vệ người dùng của chính mình. Ví dụ, giao thức quản lý rủi ro DeFi Gauntlet nhấn mạnh rằng, Gauntlet USD Alpha không nắm giữ vị thế USR hoặc RLP, các kho của họ không bị ảnh hưởng, nhà cung cấp vốn cũng không bị ảnh hưởng, và họ đang thảo luận với Resolv để tìm giải pháp, đồng thời đang xây dựng phương án bồi thường cho các khoản còn lại.

Giao thức DeFi Fluid cho biết, họ đã nhận được khoản vay ngắn hạn để trang trải tất cả các khoản nợ xấu hiện tại, đảm bảo an toàn cho quỹ của người dùng. Người sáng lập Aave, Stani.eth, cũng đăng tweet khẳng định rằng, hợp đồng của họ không có rủi ro liên quan đến stablecoin USR của Resolv Labs, Resolv chỉ cung cấp thanh khoản và hỗ trợ tài sản cho Aave, các tài sản này hiện vẫn an toàn. Các giao thức khác sử dụng USR để tạo lợi nhuận như Pendle, Sommelier, dù chưa mất tiền trực tiếp, nhưng lợi suất các pool liên quan cũng bị ảnh hưởng gián tiếp.

Điều này một lần nữa cho thấy thực tế tàn nhẫn trong hệ sinh thái DeFi: thất bại của một giao thức có thể gây ra “sụp đổ dây chuyền” cho nhiều giao thức khác, đặc biệt khi một tài sản được dùng rộng rãi làm tài sản thế chấp. Ngay cả khi các giao thức này không bị tấn công trực tiếp, chúng cũng có thể bị ảnh hưởng về uy tín và hoạt động do các rủi ro liên quan.

Ngoài ra, trong thời điểm xảy ra vụ việc, hacker đã bán trái phép 80 triệu USR tạo ra trái phép từng đợt trên các pool USR/USDC của Curve, Uniswap, gây ra biến động giá dữ dội. Do USR mất giá trị, các nhà cung cấp thanh khoản không chỉ đối mặt với “mất mát không thường xuyên” mà còn thiệt hại về vốn thực chất vì phần lớn tài sản cuối cùng nắm giữ là USR mất peg, gây thiệt hại vốn đáng kể. Hiện tượng này cũng phơi bày điểm yếu của các pool thanh khoản mới nổi (giao dịch nhỏ hoặc độ sâu không đủ), thiếu độ sâu đủ lớn để hấp thụ lượng bán tháo lớn, dẫn đến biến động giá tức thời và rủi ro hệ thống lan rộng.

Từ góc độ rộng hơn, vụ việc của Resolv Labs không chỉ đơn thuần là mất an toàn của một dự án, mà còn là cú sốc lớn đối với niềm tin của nhà đầu tư trong thị trường tiền mã hóa, có thể kích hoạt một làn sóng mất tin tưởng mới vào stablecoin. Khi stablecoin mất peg và gặp vấn đề an toàn, toàn bộ hệ sinh thái DeFi có thể bị lung lay, khiến thị trường ngày càng hoài nghi về khả năng tồn tại lâu dài của “stablecoin thuật toán” và “stablecoin sinh lời”. Thậm chí, một số nhà đầu tư thận trọng có thể rút vốn khỏi các giao thức DeFi rủi ro cao, chuyển sang các tài sản an toàn hơn hoặc các chiến lược phòng ngừa rủi ro.

Sự kiện này rõ ràng là một lời cảnh tỉnh toàn ngành, đặc biệt trong bối cảnh thị trường tiền mã hóa vẫn đang trong chu kỳ gấu, tâm lý rủi ro chung thấp. Vấn đề “quá phụ thuộc vào chữ ký bên ngoài và thiếu kiểm tra trên chuỗi” của Resolv được xem là “sự sụp đổ của mô hình tin tưởng”. Đồng thời, nó cũng nhắc nhở các giao thức nên áp dụng cơ chế multi-sig để phân quyền, tích hợp các mạng oracle phi tập trung như Chainlink, Pyth để kiểm tra dữ liệu theo thời gian thực trên chuỗi, cùng với các cơ chế tự động cắt lỗ để nâng cao an toàn và khả năng chống chịu rủi ro của hệ thống.

Về phản ứng khẩn cấp, từ 10 giờ sáng đến 12 giờ trưa hôm qua, đội ngũ Resolv mới tạm dừng giao thức sau hơn hai giờ xảy ra vụ tấn công, cho thấy quy trình ứng phó còn chậm chạp. Sau sự kiện này, các dự án cần xây dựng hệ thống phản ứng nhanh, tự động để xử lý khủng hoảng hiệu quả hơn.

Kết luận

Tính đến thời điểm viết bài, Resolv Labs vẫn chưa công bố kế hoạch bồi thường toàn diện. Đối với các người dùng vẫn còn giữ USR hoặc bị thiệt hại do mất peg, cũng như các chủ sở hữu RLP do giá trị của bể bảo hiểm bị pha loãng, hiện chưa có kế hoạch bồi thường rõ ràng nào được công bố. Thị trường cũng đang theo dõi sát sao các bước tiếp theo của họ để xem có thể cung cấp thêm hỗ trợ cho các người dùng bị thiệt hại hay không.

Vụ tấn công này khiến người ta phải suy nghĩ, liệu “phi tập trung” của DeFi là cuộc cách mạng về kiến trúc công nghệ hay là sự tái cấu trúc mô hình tin tưởng? Khi cân bằng giữa đổi mới và an toàn bị mất cân đối, có lẽ chỉ có thể quay về “ít tin cậy tối thiểu” trong các nguyên lý nền tảng để tìm ra điểm cân bằng bền vững giữa hiệu quả và rủi ro.