Resolv Labs Diserang, Proyek-Proyek DeFi Sekali Lagi Dimanfaatkan

Resolv Labs, unit penerbit stablecoin USR yang menggunakan strategi netral Delta, telah diserang. Sebuah alamat yang dimulai dengan 0x04A2 menghasilkan 50 juta USR dari protokol Resolv Labs dengan 100.000 USDC. Setelah kejadian terungkap, harga USR langsung turun sekitar 0,25 dolar, sebelum pulih ke sekitar 0,80 dolar saat artikel ini ditulis. Harga token RESOLV juga turun hampir 10% dalam waktu singkat.

Kemudian, peretas menggunakan metode serupa untuk menghasilkan 30 juta USR dengan 100.000 USDC. Ketika USR kehilangan nilai secara signifikan, para spekulan arbitrase segera bertindak, dan banyak pasar pinjaman di Morpho yang mendukung USR, wstUSR, dan aset jaminan lainnya hampir kehabisan. Lista DAO di chain BNB juga menghentikan permintaan pinjaman baru.

Protokol pinjaman ini bukan satu-satunya yang terdampak. Protokol Resolv Labs juga memungkinkan pengguna membuat token RLP, yang membawa volatilitas harga lebih besar dan keuntungan lebih tinggi, tetapi juga membuat mereka bertanggung jawab secara hukum atas kerugian yang timbul dari protokol. Saat ini, ada hampir 30 juta token RLP yang beredar, di mana Stream Finance memegang lebih dari 13 juta token, mewakili risiko bersih sekitar 17 juta dolar. Benar, Stream Finance, perusahaan yang pernah mengalami kerugian besar akibat xUSD, mungkin akan menghadapi guncangan lagi. Hingga saat artikel ini ditulis, peretas telah mengonversi USR menjadi USDC dan USDT dan terus membeli Ethereum, telah membeli lebih dari 10.000 ETH. Dengan menggunakan 200.000 USDC, peretas telah mengembalikan lebih dari 20 juta dolar aset, menemukan “uang yang menghasilkan 100 kali lipat” di pasar bearish. Sekali lagi, celah telah dimanfaatkan karena “kurangnya ketatnya pengamanan”. Penurunan tajam pada 11 Oktober tahun lalu menyebabkan banyak stablecoin yang diterbitkan dengan strategi Delta-neutral mengalami kerugian aset jaminan akibat ADL (Pengurangan Leverage Otomatis). Beberapa proyek yang menggunakan altcoin sebagai asetnya bahkan mengalami kerugian lebih besar, bahkan beberapa proyek menghilang sama sekali. Resolv Labs, proyek yang diserang kali ini, juga menggunakan mekanisme serupa untuk menerbitkan USR. Proyek ini mengumumkan pada April 2025 bahwa mereka telah menyelesaikan putaran pendanaan awal sebesar 10 juta dolar yang dipimpin oleh Cyber.Fund dan Maven11, dengan partisipasi dari Coinbase Ventures, dan meluncurkan token RESOLV pada akhir Mei dan awal Juni. Namun, alasan Resolv Labs diserang bukan karena kondisi pasar yang keras, melainkan karena mekanisme pembuatan USR yang “tidak cukup ketat”. Saat ini belum ada perusahaan keamanan atau badan resmi yang menganalisis penyebab serangan ini. Analisis awal dari anggota komunitas DeFi YAM menunjukkan bahwa serangan kemungkinan disebabkan oleh hacker yang menguasai fungsi SERVICE_ROLE, yang digunakan dalam bagian pendukung protokol untuk menyediakan parameter bagi kontrak penciptaan token. Menurut analisis Grok, saat pengguna membuat USR, mereka memulai permintaan di blockchain dan memanggil fungsi requestMint dari kontrak, dengan parameter meliputi: _depositTokenAddress: Alamat tempat token dikirim; _amount: Jumlah yang akan disimpan; _minMintAmount: Jumlah USR minimum yang diharapkan diterima (nilai anti-slippage). Kemudian, pengguna mengirim USDC atau USDT ke kontrak. Bagian pendukung SERVICE_ROLE dari proyek memantau permintaan tersebut, menggunakan oracle Pyth untuk memeriksa nilai aset yang dikirim, lalu memanggil fungsi completeMint atau completeSwap untuk menentukan jumlah USR yang sebenarnya dibuat. Masalahnya terletak pada kontrak penciptaan uang yang sepenuhnya mempercayai mintAmount yang diberikan oleh SERVICE_ROLE, dengan asumsi bahwa angka ini telah diverifikasi oleh Pyth di luar rantai. Oleh karena itu, kontrak tidak membatasi atau memverifikasi angka ini dengan oracle di dalam rantai, melainkan langsung melakukan mint(_mintAmount). Berdasarkan hal ini, YAM menduga bahwa hacker telah menguasai SERVICE_ROLE, yang seharusnya dikendalikan oleh tim proyek (mungkin karena gangguan sistem oracle internal, pencurian internal, atau pencurian kunci), dan secara langsung mengatur _mintAmount menjadi 50 juta saat penciptaan uang palsu, sehingga melakukan serangan dengan menghasilkan 50 juta USR dengan 100.000 USDC. Akhirnya, Grok menyimpulkan bahwa Resolv tidak mempertimbangkan kemungkinan bahwa alamat (atau kontrak) yang digunakan untuk menerima permintaan pembuatan USR dari pengguna bisa dikendalikan oleh hacker saat merancang protokol. Ketika permintaan pembuatan USR dikirim ke kontrak yang akhirnya menciptakan USR, tidak ada batas jumlah maksimum yang ditetapkan dan kontrak penciptaan USR tidak menggunakan oracle di dalam rantai untuk verifikasi sekunder. Sebaliknya, kontrak langsung mempercayai semua parameter yang diberikan oleh SERVICE_ROLE. Langkah pencegahan juga tidak cukup lengkap. Selain spekulasi tentang penyebab serangan siber, YAM juga menunjukkan kurangnya persiapan dari tim proyek dalam menghadapi krisis. YAM menyatakan di X bahwa Resolv Labs hanya menghentikan sementara protokol selama tiga jam setelah serangan awal, di mana sekitar satu jam digunakan untuk mengumpulkan empat tanda tangan yang diperlukan untuk transaksi multi-tanda tangan. YAM percaya bahwa penghentian darurat seharusnya cukup dengan satu tanda tangan, dan wewenang ini seharusnya diberikan kepada anggota tim atau operator luar yang terpercaya kapan saja memungkinkan. Ini akan meningkatkan kesadaran terhadap anomali di rantai, memperbaiki kemampuan untuk menghentikan secara cepat, dan lebih baik melindungi berbagai zona waktu. Meskipun usulan menghentikan protokol dengan satu tanda tangan tampak ekstrem, meminta banyak tanda tangan dari berbagai zona waktu untuk menghentikan protokol memang dapat menyebabkan penundaan signifikan dalam situasi darurat. Memperkenalkan pihak ketiga yang terpercaya untuk terus memantau perilaku di rantai, atau menggunakan alat pemantauan yang memiliki hak untuk menghentikan darurat, adalah pelajaran yang diambil dari insiden ini. Serangan hacker terhadap protokol DeFi selama ini hanya terbatas pada celah kontrak. Insiden Resolv Labs menjadi peringatan bagi tim proyek: asumsi keamanan protokol harus menganggap bagian mana pun dari protokol tidak dapat dipercaya, dan semua tautan terkait parameter harus melalui minimal dua kali verifikasi, bahkan untuk bagian server yang dioperasikan oleh tim proyek sendiri.