Penyerang pada pukul 2:21 dini hari waktu dunia (UTC) hari Minggu, memanfaatkan celah kontrol akses pada kontrak pencetakan USR dari protokol stablecoin Resolv, dengan mengeluarkan sekitar 200.000 dolar AS dalam USDC untuk mencetak lebih dari 80 juta token tanpa jaminan, dan melalui pertukaran di bursa mencuri sekitar 25 juta dolar AS. USR kemudian langsung jatuh ke harga 0,025 dolar AS di kolam likuiditas utama Curve Finance.
Mekanisme Serangan: Bagaimana kontrak pencetakan disalahgunakan
(Sumber: Etherscan)
Akun X, YieldsAndMore, mencatat transaksi abnormal pertama kali: penyerang menyetor 100.000 USDC ke kontrak USR Counter milik Resolv, tetapi mendapatkan 50 juta USR, sekitar 500 kali lipat dari jumlah normal; kemudian melalui transaksi kedua mencetak tambahan 30 juta USR, sehingga total sekitar 80 juta token.
Analis on-chain, Andrew Hong, mengaitkan akar celah tersebut pada peran hak istimewa SERVICE_ROLE dalam protokol. Peran ini digunakan untuk menyelesaikan permintaan pertukaran, tetapi hanya dikendalikan oleh akun eksternal biasa (EOA), bukan oleh struktur tanda tangan multi yang lebih aman. Selain itu, kontrak pencetakan sama sekali tidak memiliki verifikasi harga dari oracle, batas jumlah, maupun mekanisme batas pencetakan token.
D2 Finance, sebuah dana DeFi, mengusulkan tiga kemungkinan jalur serangan: manipulasi oracle, peretasan penandatangan off-chain, atau ketidakadaan verifikasi jumlah antara permintaan pencetakan dan penyelesaian.
Dampak pasar: Efek pelepasan dari patokan menyebar ke ekosistem pinjaman DeFi
(Sumber: Trading View)
Dalam waktu 17 menit setelah pencetakan selesai, USR di kolam likuiditas Curve Finance jatuh ke harga 0,025 dolar AS, kemudian naik kembali ke sekitar 0,85 dolar AS, tetapi belum sepenuhnya kembali ke patokan. Alamat utama penyerang (dimulai dengan 0x04A2) akhirnya memegang 11.409 ETH (sekitar 23,7 juta dolar AS), dan satu alamat terkait memegang sekitar 1,1 juta dolar AS dalam token wstUSR.
Efek berantai dari pelepasan USR dari patokan
Likuiditas platform pinjaman terganggu: USR dan wstUSR diterima sebagai jaminan oleh Morpho dan Gauntlet. Setelah pelepasan dari patokan, sebagian spekulan membeli USR dengan diskon dan meminjam USDC dengan nilai nominal, mempercepat kekeringan likuiditas vault.
Tekanan pada lapisan asuransi RLP: Sebagai mekanisme penyerapan kerugian, kolam likuiditas Resolv (RLP) sebelum serangan memiliki sekitar 38,6 juta dolar AS dalam dana yang beredar; pemegang terbesar, Stream Finance, memegang 13,6 juta RLP di Morpho, dengan eksposur bersih sekitar 17 juta dolar AS.
Penurunan token tata kelola RESOLV: Terpengaruh oleh insiden ini, harga RESOLV turun sekitar 8,5% dalam 24 jam.
Meskipun Resolv Labs menyatakan bahwa vault jaminan “sepenuhnya utuh,” analis on-chain menunjukkan bahwa serangan ini lebih bersifat inflasi pasokan daripada pencurian langsung jaminan. 80 juta token baru ini mengencerkan pasokan yang ada, dan aksi jual dari penyerang menghancurkan likuiditas. Pengguna yang memegang USR selama serangan telah mengalami kerugian nyata.
Keterbatasan audit keamanan dan tumpang tindih kebijakan regulasi
CEO Cyvers, Deddy Lavid, menyatakan: “Hanya mengandalkan audit tidak cukup; jika tidak memantau secara real-time jumlah pencetakan dan pasokan, kita seperti orang buta di saat kritis.” Situs resmi Resolv mengklaim telah menyelesaikan 14 audit dari lima lembaga dan menetapkan hadiah bug sebesar 500.000 dolar AS melalui program Immunefi.
Insiden ini terjadi pada waktu yang sensitif. Lembaga legislatif AS sedang aktif mendorong regulasi stablecoin berbasis hasil sesuai dengan Genius Act. Beberapa senator kunci telah mencapai kesepakatan prinsip tentang pengelolaan hasil stablecoin sehari sebelum serangan. Selain itu, menurut laporan terbaru Immunefi, rata-rata kerugian dari serangan kripto pada tahun 2026 diperkirakan sekitar 25 juta dolar AS, dan jumlah kerugian dari insiden ini sesuai dengan rata-rata industri.
Pertanyaan umum
Apa jenis stablecoin USR dan mengapa pelepasan dari patokan terjadi?
USR adalah stablecoin dolar yang diterbitkan oleh Resolv Labs, menggunakan strategi hedging delta netral dengan ETH dan BTC sebagai pendukung dasar. Pelepasan dari patokan ini bukan karena kekurangan jaminan, melainkan karena penyerang memanfaatkan celah pencetakan untuk membuat sejumlah besar token tanpa jaminan dan menjualnya secara massal di pasar, menyebabkan kolam likuiditas utama runtuh secara mendadak.
Apa celah teknis utama dari serangan ini?
Celah utama terletak pada akun hak istimewa SERVICE_ROLE yang dikendalikan oleh EOA biasa, dan kontrak pencetakan tidak memiliki verifikasi harga oracle, batas jumlah, maupun batas pencetakan token. Hal ini memungkinkan penyerang mencetak USR hingga 500 kali lipat dari jumlah normal hanya dengan USDC senilai sekitar 200.000 dolar AS.
Risiko kerugian nyata apa yang dihadapi pemilik USR?
Penyerang menjual besar-besaran USR tanpa jaminan, menghancurkan likuiditas secara langsung. Pengguna yang memegang USR selama serangan mengalami kerugian nilai pasar secara langsung. Selain itu, wstUSR digunakan sebagai jaminan di beberapa platform pinjaman DeFi, dan pelepasan dari patokan ini memperburuk struktur likuiditas vault terkait.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
100 Kripto Teratas Berdasarkan Kapitalisasi Pasar: LUNC Naik 12,47%, WLFI Turun 11,41% Hari Ini
Menurut CoinMarketCap, hari ini (30 April) 100 kripto teratas berdasarkan kapitalisasi pasar menunjukkan kinerja yang beragam. Terra Classic (LUNC) memimpin kenaikan dengan naik 12,47% menjadi $0,00007391, disusul Polygon (POL) naik 5,07% menjadi $0,09579 dan Zcash (ZEC) naik 4,72% menjadi $337,18.
World Liberty Financial (WLFI) s
GateNews25menit yang lalu
Peringatan TradFi Naik: XRX (Xerox Holdings Corp) Naik Melebihi 28%
Gate News: Menurut data terbaru Gate TradFi, XRX (Xerox Holdings Corp) telah melonjak sebesar 28% dalam waktu singkat. Volatilitas saat ini secara signifikan lebih tinggi dibandingkan rata-rata terbaru, menunjukkan peningkatan aktivitas pasar.
GateNews2jam yang lalu
Bitcoin Menghadapi Perlawanan di Sekitar $80K , Data Derivatif Menunjukkan $500M Likuidasi dalam 24 Jam
Berdasarkan data derivatif dari Deribit dan sumber lain, Bitcoin menghadapi resistensi yang berkelanjutan di sekitar $80.000 pada 29-30 April, dengan sentimen pasar bergeser ke arah penghindaran risiko. Open interest (OI) futures turun 2% menjadi $119 miliar dalam 24 jam, sementara volume perdagangan melonjak 26% menjadi $208 miliar,
GateNews4jam yang lalu
Volume Grayscale Zcash Trust Melonjak Dua Kali Lipat jadi 1,7 juta dolar AS per Hari pada April ketika Suplai ZEC Tershield Mencapai Rekor 30%
Menurut The Block, Grayscale Zcash Trust (ZCSH) rata-rata membukukan volume harian sekitar 1,7 juta dolar AS pada April, lebih dari dua kali lipat dari angka pada Maret, menandai level tertingginya sejak Januari.
Pasokan ZEC yang di-shield terus mencapai rekor tertinggi, dengan pool Orchard tumbuh dari 1,92 juta ZEC menjadi
GateNews5jam yang lalu
Dogecoin Mematahkan Konsolidasi 72 Hari, Kerugian Paus Mengecil Menjadi $89K saat Arus Masuk ETF Berubah Positif
Berdasarkan data on-chain, Dogecoin menembus konsolidasi 72 hari pada 30 April 2026, melonjak lebih dari 10% menjadi $0,11. Kerugian yang belum direalisasi milik paus terkemuka menyempit tajam dari $13 juta menjadi sekitar $89 ribu setelah penembusan, menyusul posisi long terleveraged 10x yang dipasang secara buruk pada 40 juta DOGE
GateNews7jam yang lalu
