Giao thức Resolv Bị Khai Thác – Kẻ Tấn Công Hoán Đổi 200K USDC Lấy $23.8 Triệu trong Vụ Vi Phạm Bảo Mật Lớn

Hệ sinh thái DeFi gần đây đã trải qua một vụ khai thác nâng cao, tiếp tục cho thấy các lỗ hổng liên tục trong cơ chế phát hành của các giao thức khác nhau trong hệ sinh thái DeFi. Vào ngày 22 tháng 3 năm 2026, nền tảng giám sát an ninh có tên Lookonchain đã thông báo cho cộng đồng về một vụ vi phạm lớn liên quan đến Resolv, một giao thức quản lý tài sản tổng hợp. Dựa trên dữ liệu trên chuỗi, một hacker đã chuyển đổi một số nhỏ 200.000 USDC thành một lượng lớn tiền, rút hàng triệu đô la thanh khoản khỏi thị trường trong một khoảng thời gian ngắn.

Cơ chế của vụ khai thác phát hành

Một kẻ khai thác đã lợi dụng lỗ hổng trong hợp đồng phát hành của Resolv để bắt đầu vụ vi phạm. Bằng cách gửi 200.000 USDC, kẻ khai thác đã sử dụng hệ thống kế toán nội bộ của giao thức để tạo ra một lượng USR khổng lồ là 80.000.000 USR. Việc tăng cung USR này không có sự đảm bảo thế chấp, do đó tạo ra giá trị ảo từ không khí.

Sự không khớp giữa giá trị bảo đảm thực tế của mỗi token USR và USR tồn tại cho thấy có thể có lỗi trong chức năng của oracle định giá hoặc trong logic của chức năng “mint” trong giao thức. Sau đó, sau khi tạo ra USR thông qua việc phát hành 80 triệu, kẻ tấn công nhanh chóng chuyển đổi các tài sản tổng hợp thành một loại tài sản mã hóa “cứng”. Việc này diễn ra trước khi giá dự kiến của USR rời khỏi peg hoặc trước khi giao thức có cơ hội dừng các giao dịch.

Thanh lý phần thưởng – Chuyển đổi 23,8 triệu đô la

Tốc độ là yếu tố then chốt trong các vụ khai thác DeFi; do đó, kẻ tấn công thể hiện khả năng khai thác cơ hội một cách nhanh chóng. Theo các nhật ký trên chuỗi từ Arkham Intelligence, kẻ tấn công ngay lập tức chuyển 44.780.000 USR sang các sàn DEX và các trình tổng hợp khác nhau. Số lượng lớn token tổng hợp này đã được chuyển đổi thành 11.437 ETH, tương đương khoảng 23,8 triệu đô la vào thời điểm giao dịch.

Số lượng USR còn lại trong ví của kẻ tấn công có thể là khía cạnh đáng lo ngại nhất của vụ tấn công này đối với hệ sinh thái Resolv, vì hiện tại, vẫn còn 35,14 triệu USR trong ví của kẻ tấn công. Trong khi có khả năng các pool thanh khoản chứa USR đã bị xóa sạch do đợt bán tháo ban đầu, thì các token này vẫn còn tồn tại. Việc giới thiệu thêm thanh khoản vào hệ thống trong tương lai do đó mang lại rủi ro thứ cấp.

Xu hướng ngày càng tăng của các lỗ hổng trong tài sản tổng hợp

Sự kiện này không chỉ là một vụ việc riêng lẻ, mà còn là một phần của xu hướng lớn hơn, trong đó các kẻ tấn công hiện đang nhắm vào cơ chế phát hành và đốt của các giao thức tài sản tổng hợp. Các tài sản tổng hợp dựa trên các công thức toán học phức tạp để cố gắng duy trì peg của chúng, vì vậy ngay cả một lỗi nhỏ trong mã cũng có thể gây ra hậu quả nghiêm trọng.

Các công ty an ninh đã lên tiếng rất rõ về rủi ro của các giao thức DeFi ngày càng liên kết chặt chẽ hơn. Khi các hệ thống này trở nên phức tạp hơn, một vụ khai thác trong một khu vực có thể gây ra các vấn đề lan rộng trên toàn bộ hệ sinh thái.

Kết luận

Vụ khai thác Resolv cho thấy rằng tài chính phi tập trung vẫn còn mang tính chất hoang dã. Trong khi chuyển sang Web3 tạo ra những tự do tài chính mới, nó cũng đặt ra yêu cầu cao hơn về chất lượng mã lập trình và sự cẩn trọng của những người đầu tư vào các dự án. Trong quá trình điều tra nguyên nhân gốc rễ của vụ khai thác, việc thu hồi tiền từ ví của kẻ tấn công là ưu tiên thứ cấp. Mục tiêu chính là để các thành viên trong cộng đồng DeFi liên tục nâng cao các giao thức an ninh nhằm ngăn chặn thiệt hại vốn lớn hơn trong tương lai. Hiện tại, kẻ tấn công đã có khoảng 23 triệu đô la giá trị ETH và cộng đồng Resolv vẫn đang chịu ảnh hưởng tiêu cực từ vụ việc này.