Stablecoin USR của Resolv Labs đã mất peg khỏi đô la Mỹ và giảm hơn 70% sau khi một kẻ tấn công khai thác hợp đồng của nó để tạo ra 80 triệu token không thế chấp. Theo một tweet từ nền tảng DeFi, vụ tấn công đã lợi dụng “khóa riêng bị xâm phạm” để tạo ra 80 triệu USD giá trị USR không thế chấp. Một báo cáo hậu sự từ công ty phân tích blockchain Chainalysis cho biết rằng kẻ tấn công sau đó nhanh chóng chuyển USR không thế chấp thành phiên bản staking, wstUSR, rồi đổi sang các stablecoin khác và sau đó sang Ethereum.
Thông báo này được phát hành nhân danh Resolv Digital Assets Ltd. liên quan đến giao thức Resolv.
Hôm nay, một tác nhân độc hại đã truy cập trái phép vào hạ tầng của Resolv qua khóa riêng bị xâm phạm, dẫn đến việc tạo ra khoảng 80 triệu USD…
— Resolv Labs (@ResolvLabs) ngày 22 tháng 3 năm 2026
Tổng cộng, các hacker đã rút ra khoảng 25 triệu USD giá trị, theo Chainalysis. Sau vụ khai thác, USR đã mất peg với đô la Mỹ, giảm hơn 74% theo CoinGecko, khi kẻ tấn công chuyển đổi các token không thế chấp này để rút ra tiền mặt. Resolv Labs cho biết khoảng 9 triệu USD USR đã bị đốt để “giảm thiểu tác động tiềm tàng,” trong khi nền tảng DeFi đang “hợp tác với cơ quan thực thi pháp luật và các công ty phân tích onchain” để xác định các hacker chịu trách nhiệm và kiểm soát USR bị tạo ra trái phép. Công ty đã tạm dừng tất cả các chức năng của giao thức sau vụ khai thác, và đang chuẩn bị cho phép rút tiền cho “USR trước sự cố,” bắt đầu với người dùng trong danh sách cho phép. Theo phân tích của nền tảng dữ liệu RootData, phương pháp tấn công có thể liên quan đến “oracle bị thao túng, khóa ký off-chain bị rò rỉ” hoặc các lỗ hổng khác trong cơ chế tạo token. Chainalysis cho biết vụ tấn công được kích hoạt do việc phê duyệt tạo token dựa vào “dịch vụ off-chain sử dụng khóa riêng đặc quyền để ký xác nhận số USR có thể được tạo ra,” trong khi hợp đồng thông minh không đặt giới hạn tối đa cho việc tạo USR. Quỹ tiền điện tử D2 Finance mô tả quá trình rút tiền như một “đường dẫn rút tiền DeFi theo sách giáo khoa,” với các hacker gửi USR theo từng đợt đến nhiều giao thức thanh khoản trong khi ưu tiên bán lớn.
Đây là vụ việc mới nhất trong chuỗi các sự cố an ninh DeFi gần đây, bao gồm quyết định của Solana protocol Step Finance dừng hoạt động vài tuần sau khi bị hack thiệt hại 29 triệu USD, và lỗi oracle khiến Moonwell, một nền tảng cho vay DeFi, gặp phải khoản nợ xấu 1,8 triệu USD.