Menukar 200 ribu untuk mendapatkan hampir 1 miliar, stablecoin DeFi kembali diserang

Ditulis oleh: Eric, Foresight News

Sekitar pukul 10:21 waktu Beijing hari ini, Resolv Labs, yang menggunakan strategi Delta netral untuk menerbitkan stablecoin USR, diserang oleh hacker. Alamat yang diawali dengan 0x04A2 menggunakan 100.000 USDC dari protokol Resolv Labs untuk mencetak 50 juta USR.

Seiring terungkapnya kejadian, harga USR langsung jatuh ke sekitar $0,25, dan saat penulisan ini kembali naik ke sekitar $0,8. Harga token RESOLV juga mengalami penurunan sementara hampir 10%.

Setelah itu, hacker mengulangi modus yang sama dengan mencetak lagi 30 juta USR menggunakan 100.000 USDC. Dengan terlepasnya USR dari patokan harga, para trader arbitrase pun cepat bertindak. Banyak pasar pinjaman di Morpho yang mendukung penggunaan USR, wstUSR, dan lain-lain sebagai jaminan hampir habis terkuras, dan Lista DAO di BNB Chain juga menghentikan permintaan pinjaman baru.

Tidak hanya itu, protokol pinjaman lainnya juga terkena dampak. Dalam desain protokol Resolv Labs, pengguna juga dapat mencetak token RLP yang memiliki volatilitas harga lebih besar dan potensi keuntungan lebih tinggi, tetapi dengan risiko harus menanggung kerugian jika terjadi kerugian pada protokol. Saat ini, jumlah peredaran token RLP mendekati 30 juta, dengan pemegang terbesar, Stream Finance, memegang lebih dari 13 juta RLP, sehingga risiko bersih sekitar 17 juta dolar AS.

Benar, sebelumnya Stream Finance yang pernah mengalami kerugian besar akibat crash xUSD, kemungkinan akan kembali mengalami pukulan besar.

Hingga saat penulisan ini, hacker telah mengonversi USR ke USDC dan USDT, serta terus membeli Ethereum, dan saat ini sudah membeli lebih dari 10.000 ETH. Dengan 200.000 USDC, mereka mendapatkan aset senilai lebih dari 20 juta dolar AS. Dalam pasar bearish ini, hacker menemukan “koin seratus kali lipat” yang cocok dengan profil mereka.

Sekali lagi, celah muncul karena ketidakakuratan dalam desain sistem

Pada 11 Oktober tahun lalu, penurunan besar menyebabkan banyak stablecoin yang diterbitkan dengan strategi Delta netral mengalami kerugian jaminan akibat ADL (auto-deleveraging). Beberapa proyek yang menggunakan altcoin sebagai aset eksekusi strategi bahkan mengalami kerugian yang lebih parah dan langsung kabur.

Kali ini, Resolv Labs yang diserang juga menerapkan mekanisme serupa dalam penerbitan USR. Proyek ini pernah mengumumkan pada April 2025 bahwa mereka menyelesaikan pendanaan awal sebesar 10 juta dolar AS yang dipimpin oleh Cyber.Fund dan Maven11, dengan Coinbase Ventures sebagai investor, dan pada akhir Mei hingga awal Juni meluncurkan token RESOLV.

Namun, penyebab serangan terhadap Resolv Labs bukanlah kondisi pasar ekstrem, melainkan desain mekanisme pencetakan USR yang “tidak cukup ketat.”

Saat ini, belum ada perusahaan keamanan atau pihak resmi yang menganalisis secara mendalam penyebab kejadian peretasan ini. Komunitas DeFi, melalui analisis awal, menyimpulkan bahwa kemungkinan besar serangan disebabkan oleh pengendalian hacker terhadap SERVICE_ROLE yang digunakan oleh backend protokol untuk menyediakan parameter bagi kontrak pencetakan.

Menurut analisis Grok, saat pengguna mencetak USR, mereka akan mengirim permintaan di blockchain dan memanggil fungsi requestMint dari kontrak, dengan parameter:

• _depositTokenAddress: alamat token yang disetor;

• _amount: jumlah yang disetor;

• _minMintAmount: jumlah USR minimum yang diharapkan diterima (slippage protection).

Selanjutnya, pengguna menyetor USDC atau USDT ke kontrak, dan backend proyek memonitor permintaan tersebut. Mereka menggunakan oracle Pyth untuk memeriksa nilai aset yang disetor, kemudian memanggil fungsi completeMint atau completeSwap untuk menentukan jumlah USR yang benar-benar dicetak.

Masalahnya terletak pada kepercayaan penuh kontrak pencetakan terhadap _mintAmount yang disediakan oleh SERVICE_ROLE, yang dianggap telah diverifikasi oleh Pyth secara off-chain, sehingga tidak diberlakukan batas maksimum, dan tidak ada verifikasi kedua melalui oracle di chain, langsung menjalankan mint(_mintAmount).

Berdasarkan hal ini, YAM menduga bahwa hacker mengendalikan SERVICE_ROLE yang seharusnya dikendalikan oleh tim pengembang (kemungkinan karena oracle internal yang tidak stabil, pencurian kunci, atau pengkhianatan internal), dan saat pencetakan langsung menetapkan _mintAmount sebesar 50 juta, sehingga memungkinkan pencetakan 50 juta USR dengan 100.000 USDC—serangan yang sama seperti sebelumnya.

Intinya, Grok menyimpulkan bahwa saat merancang protokol, Resolv tidak mempertimbangkan kemungkinan bahwa alamat (atau kontrak) yang digunakan untuk menerima permintaan pencetakan dari pengguna bisa dikendalikan oleh hacker. Saat permintaan pencetakan USR dikirim ke kontrak terakhir yang mencetak USR, tidak ada batas maksimum pencetakan yang ditetapkan, dan tidak ada verifikasi kedua melalui oracle chain, sehingga mereka langsung mempercayai semua parameter yang diberikan oleh SERVICE_ROLE.

Upaya Pencegahan yang Tidak Memadai

Selain menduga penyebab peretasan, YAM juga menyoroti kurangnya persiapan dari pihak proyek dalam menghadapi krisis.

YAM di X menyatakan bahwa Resolv Labs baru menghentikan protokol tiga jam setelah serangan pertama, dan ada sekitar satu jam keterlambatan karena proses pengumpulan empat tanda tangan untuk transaksi multisig. YAM berpendapat bahwa penghentian darurat seharusnya cukup dengan satu tanda tangan, dan hak akses sebaiknya didistribusikan kepada anggota tim atau operator eksternal yang terpercaya, sehingga meningkatkan perhatian terhadap kejadian di chain dan mempercepat penghentian, serta lebih baik dalam mengatasi perbedaan zona waktu.

Meskipun saran bahwa penghentian protokol cukup dengan satu tanda tangan terdengar cukup ekstrem, kenyataannya, membutuhkan beberapa tanda tangan dari berbagai zona waktu untuk menghentikan protokol bisa menyebabkan penundaan yang berakibat fatal saat keadaan darurat. Penggunaan pihak ketiga yang terpercaya dan terus memantau perilaku di chain, atau alat monitoring yang memiliki hak penghentian darurat, adalah pelajaran penting dari kejadian ini.