Tấn công hacker vào Resolv: Một khóa riêng bị rò rỉ dẫn đến việc đúc trái phép 23 triệu đô la Mỹ
Tuyển chọn TechFlowTuyển chọn TechFlow
Tấn công hacker vào Resolv: Một khóa riêng bị rò rỉ dẫn đến việc đúc trái phép 23 triệu đô la Mỹ
Khi các hệ thống DeFi ngày càng trở nên phức tạp hơn và ngày càng phụ thuộc vào các dịch vụ bên ngoài, khóa đặc quyền cũng như cơ sở hạ tầng điện toán đám mây.
Chuyên sâu báo cáo Web3Bài viết: Chainalysis
Biên dịch: AididiaoJP, Foresight News
Vào ngày 22 tháng 3 năm 2026, giao thức DeFi Resolv đã trở thành ví dụ mới nhất cho thấy tốc độ khủng hoảng trong lĩnh vực DeFi có thể diễn ra nhanh đến mức nào khi các giả định an ninh bị phá vỡ. Trong vài phút ngắn ngủi, một tin tặc đã đúc hàng chục triệu đồng tiền ổn định USR của Resolv mà không có bất kỳ khoản thế chấp nào hỗ trợ, từ đó rút khoảng 25 triệu đô la Mỹ giá trị, khiến giá USR giảm mạnh và mất neo, buộc giao thức phải tạm ngừng hoạt động.
Lúc đầu, sự việc có vẻ như lại là một lỗ hổng hợp đồng thông minh. Tuy nhiên, thực tế lại không phải như vậy. Mã liên quan đã vận hành đúng như thiết kế.
Thực tế đây là một sự cố do quá tin tưởng vào cơ sở hạ tầng ngoài chuỗi (off-chain). Khi các hệ thống DeFi ngày càng phức tạp hơn và phụ thuộc nhiều hơn vào các dịch vụ bên ngoài, khóa đặc quyền cũng như cơ sở hạ tầng đám mây, diện tích bề mặt tấn công của chúng đã mở rộng vượt xa phạm vi của chính blockchain.
Bài viết này sẽ tổng quan về diễn biến và hậu quả của sự việc, đồng thời đi sâu phân tích: Khi các thành phần ngoài chuỗi bị xâm nhập, chỉ có cơ chế phát hiện và phản ứng với mối đe dọa trên chuỗi (on-chain) mang tính thời gian thực mới có thể trở thành “tuyến phòng thủ cuối cùng” then chốt, tạo nên sự khác biệt bản chất giữa một sự cố kiểm soát được và một cuộc khai thác lỗ hổng gây thiệt hại hàng triệu đô la Mỹ.
Tóm tắt sự việc
Tin tặc trước tiên gửi một khoản tiền nhỏ (khoảng 100.000–200.000 đô la Mỹ USDC) và tương tác với hệ thống đúc tiền ổn định USR của Resolv. Trong điều kiện bình thường, người dùng gửi USDC vào sẽ nhận được lượng USR tương đương. Tuy nhiên trong lần này, tin tặc đã thành công trong việc đúc khoảng 80 triệu token USR — vượt xa mức hợp lý dựa trên khoản tiền gửi ban đầu.
Tình huống này xảy ra vì bước phê duyệt đúc tiền phụ thuộc vào một dịch vụ ngoài chuỗi, sử dụng một khóa riêng đặc quyền để xác thực số lượng USR được đúc. Thế nhưng, bản thân hợp đồng thông minh lại hoàn toàn không đặt giới hạn nào đối với số lượng token được đúc — nó chỉ kiểm tra tính hợp lệ của chữ ký.
Sau khi đúc thành công những đồng USR không có thế chấp, tin tặc nhanh chóng chuyển đổi chúng sang phiên bản được đặt cược (staked) wstUSR, sau đó dần dần quy đổi thành các loại tiền ổn định khác và cuối cùng rút ra dưới dạng ETH. Đến khi kết thúc cuộc tấn công, tin tặc đã thu lợi khoảng 25 triệu đô la Mỹ dưới dạng ETH. Một lượng lớn USR không có thế chấp đổ ồ ạt vào thị trường khiến giá token này sụt giảm khoảng 80%.
Sau khi làm rõ kết quả của sự việc, phần tiếp theo sẽ phân tích sâu hơn cách thiết kế lỗi trong quy trình đúc tiền đã tạo điều kiện cho cuộc tấn công này.
Quy trình đúc token Resolv bình thường
Để hiểu rõ nguyên nhân dẫn đến cuộc tấn công, trước hết cần nắm rõ cơ chế đúc tiền của Resolv.
Khi người dùng muốn đúc token gốc USR của Resolv, họ không tương tác trực tiếp với một cơ chế tự chủ hoàn toàn trên chuỗi, mà phải trải qua một quy trình ngoài chuỗi gồm hai bước:
requestSwap — Người dùng gửi USDC vào hợp đồng USR Counter và gửi yêu cầu đúc tiền.
completeSwap — Một dịch vụ ngoài chuỗi được điều khiển bởi khóa riêng đặc quyền mang tên SERVICE_ROLE sẽ xem xét yêu cầu này, rồi xác định số lượng USR cuối cùng được đúc thông qua hàm callback trên hợp đồng.
Ở cấp độ hợp đồng, chỉ quy định số lượng USR tối thiểu được đúc, chứ không đặt bất kỳ giới hạn trên nào. Trên chuỗi không có kiểm tra tỷ lệ giữa số lượng tài sản thế chấp gửi vào và số lượng USR được đúc; cũng không tích hợp cơ chế dự báo giá (price oracle), giới hạn tổng cung hay tỷ lệ đúc tối đa. Nói cách khác, bất kỳ số lượng nào được ký bởi khóa này đều có thể được thực thi để đúc.
Chi tiết các bước tấn công
Bước 1: Lấy quyền truy cập vào môi trường AWS KMS của Resolv
Tin tặc đã xâm nhập thành công vào cơ sở hạ tầng đám mây của Resolv và giành được quyền truy cập vào dịch vụ quản lý khóa AWS (AWS Key Management Service – KMS) mà Resolv sử dụng, nơi lưu trữ khóa ký đặc quyền của giao thức. Sau khi kiểm soát được môi trường KMS, tin tặc có thể sử dụng chính khóa đúc tiền của Resolv để ủy quyền cho bất kỳ thao tác đúc nào mình mong muốn.
Bước 2: Đúc token USR
Sau khi chiếm được khóa ký, tin tặc khởi tạo hai yêu cầu swap, mỗi lần đều gửi một khoản tiền USDC nhỏ làm vốn đảm bảo, tổng cộng khoảng 100.000–200.000 đô la Mỹ, phân bổ trên nhiều giao dịch. Tiếp đó, tin tặc sử dụng khóa SERVICE_ROLE gọi hàm completeSwap và điền vào số lượng đầu ra bị thổi phồng, nhờ đó được phép đúc hàng chục triệu USR dù chỉ gửi một lượng rất nhỏ USDC.
Trên chuỗi đã xác định được hai giao dịch chính:
- Giao dịch đúc 50 triệu USR
- Giao dịch đúc 30 triệu USR
Hai giao dịch trên cộng lại đã đúc tổng cộng 80 triệu token USR, trị giá khoảng 25 triệu đô la Mỹ.
Bước 3: Tránh các ràng buộc thanh khoản thông qua wstUSR
Tiếp đó, tin tặc chuyển đổi USR thành wstUSR. wstUSR là một token phái sinh đại diện cho phần sở hữu trong nhóm đặt cược (staking pool), giá trị của nó không giữ tỷ lệ cố định với USR. Bằng cách chuyển đổi thành wstUSR, tin tặc tránh được việc gây ảnh hưởng trực tiếp lên thị trường USR, mà thay vào đó chuyển danh mục đầu tư sang một dạng tài sản có tính thanh khoản thấp hơn nhưng dễ thay thế hơn.
Bước 4: Chuyển đổi và rút tiền
Dựa trên vị thế nắm giữ wstUSR, tin tặc tiếp tục đổi chúng sang các loại tiền ổn định khác, sau đó đổi tiếp sang ETH, đồng thời tận dụng nhiều hồ thanh khoản trên các sàn giao dịch phi tập trung (DEX) và các cây cầu xuyên chuỗi (cross-chain bridges) để chuyển tiền nhằm tối đa hóa số tiền rút ra và tăng độ khó trong việc truy vết nguồn tiền.
Tính đến thời điểm bài viết này được soạn thảo, địa chỉ của tin tặc vẫn còn nắm giữ:
- Khoảng 11.400 ETH (trị giá khoảng 24 triệu đô la Mỹ)
- Khoảng 20 triệu wstUSR (tính theo giá sau khi mất neo, trị giá khoảng 1,3 triệu đô la Mỹ)
Tác động tới người nắm giữ USR
Sự việc này đã gây ảnh hưởng trực tiếp và nghiêm trọng tới những người nắm giữ USR.
80 triệu token USR không có thế chấp vừa được đúc lần lượt đổ vào các hồ thanh khoản trên các sàn giao dịch phi tập trung. Khi nguồn cung tăng mạnh, mức neo giá của USR với đô la Mỹ nhanh chóng sụp đổ. Token này từng giảm xuống mức 0,20 đô la Mỹ — tức giảm 80%, sau đó phục hồi trong vòng vài giờ lên khoảng 0,56 đô la Mỹ.
Ngay sau sự việc, Resolv Labs đã phát đi tuyên bố tạm dừng toàn bộ chức năng của giao thức nhằm ngăn chặn tổn thất thêm và tiến hành điều tra vụ xâm nhập. Xét rằng tin tặc vẫn đang cố gắng đúc thêm USR, tính cấp bách của việc hành động kịp thời để ngăn chặn tổn thất lan rộng là điều hiển nhiên, đồng thời cũng làm nổi bật tầm quan trọng cực kỳ lớn của khả năng phản ứng nhanh trước các cuộc tấn công dạng này.
Quan niệm an ninh vững chắc nên dựa trên giả định “lỗ hổng chắc chắn sẽ xuất hiện”
Mặc dù Resolv đã triển khai đầy đủ mọi biện pháp an ninh thông thường và thực hiện tới 18 đợt kiểm toán bảo mật, nhưng cuộc tấn công lần này, ở một góc nhìn nào đó, thực chất là một câu chuyện đơn giản: Tin tặc chiếm được khóa, sử dụng khóa đó để đúc trái phép tài sản và chuyển đổi tài sản bất hợp pháp thành tiền thật trước khi các bên liên quan kịp phát hiện.
Tuy nhiên, ở góc nhìn sâu hơn, sự việc này phơi bày cách các giao thức DeFi kế thừa các giả định an ninh và rủi ro tiềm ẩn từ cơ sở hạ tầng ngoài chuỗi mà chúng phụ thuộc vào. Các hợp đồng thông minh trên chuỗi vận hành hoàn toàn đúng như thiết kế, song thiết kế tổng thể của hệ thống cũng như cơ sở hạ tầng ngoài chuỗi bị xâm nhập lại không đạt chuẩn an ninh tương xứng.
Trong bối cảnh các cuộc khai thác lỗ hổng thường hoàn tất chỉ trong vài phút và một khi tổn thất đã hiện rõ thì không còn thời gian để xử lý thụ động, cơ chế giám sát thời gian thực và phản ứng tự động không còn là yếu tố bổ sung tùy chọn, mà đã trở thành lớp bảo vệ bắt buộc và không thể thiếu.
Phân tích tình huống phòng ngừa Hexagate
Cuộc tấn công vào Resolv đã minh họa rõ ràng các kịch bản mà cơ chế giám sát trên chuỗi thời gian thực được thiết kế để phát hiện. Nếu áp dụng Chainalysis Hexagate, hai phương pháp phát hiện cụ thể sau đây có thể đã phát huy hiệu quả:
Phương án 1: Giám sát các sự kiện đúc tiền bất thường
Bằng cách cấu hình các hệ thống giám sát như Hexagate, có thể theo dõi hành vi gọi hàm completeSwap, đặc biệt chú ý đến các trường hợp số lượng USR được đúc chênh lệch quá lớn so với số lượng tài sản thế chấp gửi vào.
Một khoản gửi USDC trị giá 100.000 đô la Mỹ lại được ủy quyền để đúc 50 triệu USR — tỷ lệ bất thường này vượt xa mọi phạm vi hoạt động bình thường của người dùng. Việc thiết lập quy tắc cảnh báo cho mẫu gọi hàm này — ví dụ, kích hoạt cảnh báo ngay khi tỷ lệ đúc vượt quá giá trị bình thường 1,5 lần — sẽ giúp đánh dấu ngay lập tức hai giao dịch chính nói trên.
Cơ chế giám sát tùy chỉnh của Hexagate có thể đã kích hoạt phản ứng tự động ngay khi phát hiện hành vi bất thường khai thác logic đúc tiền của Resolv.
Phương án 2: Kết hợp GateSigner và các chức năng tùy chỉnh để kiểm soát các sự kiện quan trọng trên hợp đồng
Tin tặc phải thực hiện tuần tự cả hai bước requestSwap và completeSwap, và mỗi bước đều sinh ra một sự kiện trên chuỗi. Nhờ kết hợp chức năng GateSigner của Hexagate với giám sát sự kiện hợp đồng, có thể cấu hình hệ thống để tự động tạm dừng hợp đồng ngay khi phát hiện sự kiện Mint bất thường, từ đó ngăn chặn toàn bộ số tiền 80 triệu USR trước khi bất kỳ phần nào trong số đó đổ vào thị trường công khai.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
Chainalysis
