Thị trường tài chính phi tập trung (DeFi) vừa tiếp tục nhận một bài học đắt giá về rủi ro tập trung hóa. Resolv Labs, tổ chức phát hành stablecoin USR, đã bị tấn công dẫn đến việc in khống 80 triệu token và thất thoát khoảng 25 triệu USD, khiến đồng USR mất mốc neo giá (peg) nghiêm trọng.
1/ Lỗ hổng từ cơ chế xác thực Off-chain
Dữ liệu on-chain cho thấy kẻ tấn công chỉ cần nạp một khoản tiền nhỏ (khoảng 100.000 - 200.000 USDC) để kích hoạt quy trình đúc token. Điểm yếu chí mạng nằm ở việc một khóa xác thực (private key) có đặc quyền SERVICE_ROLE - dùng để phê duyệt các giao dịch off-chain - đã bị chiếm quyền. Hợp đồng thông minh của Resolv thiếu cơ chế giới hạn đối chiếu tỷ lệ đúc tối đa trực tiếp trên chuỗi. Do đó, hacker dễ dàng qua mặt hệ thống để đúc lượng USR khổng lồ vượt xa tài sản thế chấp.
2/ Chiến lược xả hàng và Phản ứng chuỗi
Ngay sau khi "in khống" 80 triệu USR, kẻ tấn công lập tức chuyển đổi sang dạng tài sản phái sinh wstUSR để tránh trượt giá ngay lập tức, sau đó giao dịch lấy USDC/USDT và cuối cùng mua gom khoảng 11.400 ETH để tẩu tán. Áp lực bán tháo đã khiến USR có thời điểm sập 80% (về mức 0.20 USD). Hệ quả là các giao thức liên đới như Venus Protocol buộc phải đóng băng thị trường USR để ngăn chặn sự lây lan rủi ro hệ thống.
3/ Bức tranh rủi ro cấu trúc
Vụ việc của Resolv Labs phơi bày một thực tế vĩ mô: Các hợp đồng on-chain có thể được lập trình hoàn hảo, nhưng nếu "người gác cổng" ở lớp hạ tầng off-chain bị vô hiệu hóa, toàn bộ hệ thống sẽ sụp đổ. Trong quản trị rủi ro tài sản số, mức độ an toàn của một giao thức chỉ bằng đúng mắt xích yếu nhất của nó.
Kết luận: Các mô hình thiết kế stablecoin phụ thuộc vào quá trình xác thực off-chain đang đối mặt với bài toán lớn về mức độ tín nhiệm. Việc dòng vốn định chế yêu cầu khắt khe hơn về tính toàn vẹn on-chain sẽ là tiêu chuẩn bắt buộc trong giai đoạn tới để bảo vệ tính thanh khoản của thị trường.
#ResolvLabs #USR #DeFiHack #Stablecoin #Macro #FinVenture
Nguồn: Cointelegraph / Chainalysis
Facebook Comments Plugin
