Resolv Labs melakukan upgrade kontrak, memusnahkan paksa 36,73 juta token USR milik para peretas

Protokol kripto Resolv Labs melakukan upgrade melalui kontrak pintar pada 6 April, memaksa pembakaran paksa 36,73 juta USR stablecoin yang dimiliki oleh alamat penyerang; ini merupakan perkembangan penanganan terbaru setelah insiden eksploitasi minting pada 22 Maret. Penyerang menggunakan kunci privat layanan manajemen kunci AWS KMS (Key Management Service) yang terungkap untuk fasilitas manajemen kunci off-chain tersebut, dengan jaminan awal kurang dari 200k dolar untuk mencetak 80 juta USR tanpa jaminan.

Rekap Serangan: Bagaimana Kunci AWS yang Bocor Memicu Kerugian Sistematis

Menurut analisis Chainalysis, inti dari serangan ini adalah sebuah kunci privat AWS KMS (Key Management Service) yang bocor dari infrastruktur otorisasi off-chain Resolv. Penyerang memanfaatkan kunci ini untuk melewati mekanisme otorisasi minting, lalu menyelesaikan dua transaksi minting utama di blockchain: 50 juta USR dan 30 juta USR, dengan jaminan awal hanya 100k hingga 200k dolar USDC.

Jalur Konversi Dana Serangan

Minting: Mencetak 80 juta USR tanpa jaminan dengan jaminan kurang dari 200k dolar

Konversi: Membungkus USR menjadi wstUSR (versi staking/berjaminan), lalu secara bertahap ditukar menjadi stablecoin lain

Mencairkan dana: Akhirnya mengubah menjadi sekitar 11.409 ETH, senilai sekitar 24,48 juta dolar

Dampak Harga: Melimpahnya token tanpa jaminan ke liquidity pool DeFi; USR sempat anjlok hingga 0,14 dolar

Chainalysis menyatakan bahwa cacat mendasar dari serangan ini adalah sistem minting Resolv tidak memiliki batas atas minting di rantai dan tidak memiliki mekanisme verifikasi on-chain, sepenuhnya bergantung pada otorisasi berbasis tanda tangan off-chain; begitu kunci privat bocor, muncullah eksposur sistematis.

Tindakan Tanggap Resolv Labs: Upgrade Kontrak dan Konfirmasi Batas Kerugian

(Sumber: Etherscan)

Analis on-chain, Yu Jin, memantau bahwa Resolv Labs pada 6 April melakukan upgrade kontrak untuk memaksa membakar 36,73 juta USR dari alamat penyerang. Dengan menggabungkan aksi penanganan sebelumnya, tim Resolv melalui beberapa kali upgrade kontrak berhasil menghapus sekitar 46 juta USR dari alamat penyerang.

Namun, sebagian dana yang telah diekstraksi penyerang dalam bentuk ETH tidak dapat dipulihkan; pada akhirnya, kerugian ekonomi aktual yang dikonfirmasi protokol sekitar 34 juta dolar. Resolv Labs menegaskan bahwa meskipun celah menyebabkan pencetakan berlebih 80 juta USR, pool jaminan protokol “tetap utuh dan tidak rusak”.

Kejadian ini juga mengungkap adanya sifat ganda dari mekanisme kontrol kontrak berhak istimewa—kumpulan kekuasaan upgrade yang sama dapat digunakan penyerang untuk memicu krisis, dan juga dapat digunakan pihak protokol untuk penanganan darurat dan mitigasi kerugian. Karakteristik ini, bagi protokol DeFi yang secara nominal mengusung desentralisasi, menimbulkan risiko tata kelola jangka panjang.

Peringatan Keamanan DeFi: Infrastruktur Off-chain adalah Permukaan Serangan Utama Berikutnya

Meskipun Resolv telah melewati 18 kali audit keamanan, kelemahan perlindungan pada infrastruktur AWS off-chain tetap menyebabkan kerugian berskala besar, yang menyoroti celah buta struktural dalam ruang lingkup audit keamanan DeFi saat ini.

Peneliti keamanan menyatakan bahwa jika alat pemantauan on-chain secara real-time seperti Hexagate telah diterapkan, proporsi minting yang tidak wajar seharusnya dapat ditandai otomatis sejak dini dan eksekusi kontrak dapat dihentikan, sehingga skala kerugian dapat dikurangi secara signifikan. Pelajaran inti dari kejadian ini adalah: kerangka keamanan protokol DeFi harus memasukkan mekanisme rotasi kunci back-end, kontrol akses terhadap infrastruktur cloud, serta mekanisme pemutusan otomatis (auto-circuit breaker) untuk transaksi yang tidak wajar, ke dalam sistem perlindungan dengan prioritas yang sama dengan audit kontrak pintar.

Pertanyaan yang Sering Diajukan

Bagaimana Resolv Labs memaksa pembakaran USR yang dimiliki peretas?

Resolv Labs melakukan operasi pemusnahan token paksa pada alamat penyerang melalui mekanisme upgrade kontrak pintar. Tindakan ini bergantung pada hak istimewa pengelola protokol, sehingga dapat dieksekusi di blockchain tanpa persetujuan dari penyerang, untuk langkah penanganan darurat yang tersentralisasi.

Berapa jumlah kerugian aktual dari celah Resolv ini?

Penyerang telah menukarkan sekitar 34 juta USR menjadi 11.409 ETH (sekitar 24,48 juta dolar) dan memindahkannya; bagian ini tidak dapat dipulihkan. Kerugian bersih aktual yang dikonfirmasi protokol adalah sekitar 34 juta dolar. Resolv Labs membakar 36,73 juta USR yang merupakan sisa posisi yang belum dicairkan oleh penyerang.

Dampak apa yang ditimbulkan serangan ini terhadap mekanisme penjangkar (anchoring) USR?

Setelah serangan terjadi, USR sempat anjlok hingga 0,14 dolar; setelah berfluktuasi di kisaran 0,23 hingga 0,27 dolar, USR kemudian perlahan pulih kembali. Resolv Labs menyatakan pool jaminan tetap utuh, tetapi kejadian ini telah menimbulkan gangguan struktural terhadap kepercayaan pasar pada penjangkaran USR, serta mendorong protokol untuk menghentikan operasional sementara dan meluncurkan rencana pemulihan.