Kegagalan keamanan di Resolv Labs telah memungkinkan pelaku untuk mencetak lebih dari US$80 juta stablecoin USR tanpa jaminan. Hal ini menyebabkan token tersebut kehilangan patokan terhadap dolar secara drastis dan anjlok ke 25 sen.
Menurut analis keamanan Blockchain di Cyvers, exploit ini terjadi akibat cacat pada logika minting. Meskipun kontraknya sudah diaudit, masalah ini tetap memungkinkan pencetakan tanpa otorisasi tanpa validasi yang tepat.
Exploit ini terjadi setelah periode keluarnya dana besar-besaran secara tiba-tiba dan tidak dijelaskan dari protokol tersebut. Data BeInCrypto menunjukkan kapitalisasi total USR anjlok dari sekitar US$400 juta di awal Februari menjadi hanya US$100 juta beberapa minggu sebelum serangan.
Resolv Hentikan Protocol setelah USR Anjlok ke US$0,25
Penyusutan likuiditas sebesar 75% secara cepat ini menimbulkan pertanyaan besar apakah pihak internal atau investor besar secara diam-diam menarik posisi mereka sebelum kejatuhan.
Berdasarkan data on-chain, pelaku awalnya menggunakan US$100.000 dalam USD Coin untuk memicu celah keamanan ini.
Perusahaan keamanan blockchain PeckShield memperkirakan jumlah total USR yang dicetak secara artifisial mencapai US$80 juta. Menurut mereka, serangan ini terjadi lewat mint awal sebesar US$50 juta dan mint kedua sebesar US$30 juta.
Pihak penyerang langsung membuang token tanpa jaminan tersebut ke dalam liquidity pool di decentralized exchange, dan berhasil menarik lebih dari US$24 juta dalam bentuk Ethereum.
Meskipun dampak pasar sangat parah, Resolv Labs menyatakan bahwa kolam jaminan mereka “tetap utuh sepenuhnya” dan tidak kehilangan aset dasar. Perusahaan tersebut menyebutkan bahwa prioritas utama mereka saat ini adalah melindungi pengguna sah dari dampak kejadian ini.
Pernyataan perusahaan ini sangat bertolak belakang dengan kenyataan di pasar, sebab investor ritel yang menyimpan USR saat ini harus menanggung kerugian besar setelah harga ambruk hingga 74%. Resolv telah menghentikan seluruh fungsi protokol untuk waktu yang tidak ditentukan.
Peneliti keamanan menyampaikan bahwa insiden ini terjadi karena kelalaian arsitektur yang parah, bukan disebabkan oleh serangan kriptografi tingkat lanjut.
“Inilah saat di mana risiko stablecoin menjadi nyata. Audit saja tidak cukup; jika Anda tidak memantau mint dan suplai secara real-time, Anda akan buta pada saat kritis. Setiap interaksi protokol harus terus diawasi, dan anomali pada proses minting, harga, maupun likuiditas harus segera dihentikan sebelum menyebar. Hanya itu satu-satunya cara mencegah peristiwa seperti ini agar tidak berlanjut,” ujar CEO & Co-founder Cyvers Deddy Lavid kepada BeInCrypto.
Analis blockchain Andrew Hong menginformasikan bahwa sebuah Externally Owned Address (EOA) dasar ternyata mengendalikan “service role” utama di dalam protokol.
Alih-alih memakai kontrak multisignature yang aman, protokol justru membiarkan satu private key saja yang mengamankan wallet kripto standar tersebut.
Persoalan ini makin mendapat sorotan karena platform DeFi YieldsAndMore menyebutkan bahwa peran administratif khusus ini tidak memiliki standar pengamanan dasar, seperti batas maksimal minting dan pemeriksaan harga oracle.
Akibatnya, para analis berpendapat kejadian ini sangat menunjukkan adanya private key yang telah bocor atau kemungkinan operasi oleh pihak internal.
