จากรายงานของหลายองค์กรด้านความปลอดภัยบนบล็อกเชน การโจมตีช่องโหว่ของ DeFi protocol Resolv เมื่อวันอาทิตย์ที่ผ่านมา แฮกเกอร์ได้สร้างเหรียญ USR จำนวน 80 ล้านเหรียญโดยไม่ต้องมีหลักประกันด้วยต้นทุนต่ำมาก หลังจากขายออกอย่างรวดเร็ว ก็สามารถถอนเงินได้ประมาณ 25 ล้านดอลลาร์ ซึ่งไม่เพียงแต่ทำให้ราคาของ USR หลุดจากการเชื่อมโยงกับดอลลาร์อย่างรุนแรง แต่ยังก่อให้เกิดผลกระทบเป็นลูกโซ่ในตลาดการกู้ยืมอีกด้วย
การโจมตีนี้เกิดขึ้นเมื่อประมาณเวลา 10:21 น. ของเช้าวันที่ 22 มีนาคม ข้อมูลบนบล็อกเชนแสดงให้เห็นว่า แฮกเกอร์ได้ฝาก USDC จำนวน 100,000 เหรียญเข้าไปในสมาร์ทคอนแทรกต์ของ Resolv แต่สามารถแลกเปลี่ยนเป็น USR ได้สูงสุดถึง 50 ล้านเหรียญ ซึ่งอัตราการแลกเปลี่ยนนี้สูงกว่าปกติถึง 500 เท่า ต่อมา แฮกเกอร์ก็ได้สร้าง USR เพิ่มอีก 30 ล้านเหรียญจากการทำธุรกรรมครั้งที่สอง
USR จาก @ResolvLabs ซื้อขายในราคา 0.01 ดอลลาร์ มีคนสร้าง USR จำนวน 50 ล้านเหรียญด้วย USDC 100,000 ดอลลาร์ pic.twitter.com/fXtjZgxzQk
— YAM 🌱 (@yieldsandmore) 22 มีนาคม 2026
ในฐานะที่เป็นเหรียญ stablecoin ที่อ้างว่ามีการเชื่อมโยงกับดอลลาร์ในอัตรา 1:1 ระบบการทำงานของ USR ไม่พึ่งพาสำรองเงินตราแบบดั้งเดิม แต่ใช้กลยุทธ์การป้องกันความเสี่ยงแบบ Delta-neutral (การทำ hedge ด้วยตำแหน่ง long และ short เพื่อขจัดความเสี่ยงจากความผันผวนของราคา) โดยอิงจาก Ethereum และ Bitcoin
ข้อมูลจาก DEX Screener ระบุว่า หลังจากแฮกเกอร์สร้างเหรียญชุดแรก USR ก็ร่วงลงเหลือ 0.025 ดอลลาร์ในช่วงเวลาเพียง 17 นาทีในพูล Liquidity ของ Curve Finance ถึงแม้ราคาจะดีดกลับขึ้นไปใกล้ 0.85 ดอลลาร์ในภายหลัง แต่ในขณะเขียนบทความ ราคายังไม่สามารถกลับมาที่ 1 ดอลลาร์ได้
แฮกเกอร์ใช้เทคนิคล้างเงินอย่างชำนาญ ทางการยืนยัน “กลุ่มทุนสำรองยังสมบูรณ์”
หลังจากได้เหรียญแล้ว แฮกเกอร์ (ที่อยู่กระเป๋าเงินเริ่มต้นด้วย 0x04A2) ก็รีบแลก USR ที่สร้างขึ้นมาเทียบเป็น USDC และ USDT แล้วเปลี่ยนเป็น Ethereum ทั้งหมด ข้อมูลบนบล็อกเชนแสดงว่า กระเป๋าเงินของแฮกเกอร์มี ETH รวมกว่า 11,409 เหรียญ มูลค่าประมาณ 23.7 ล้านดอลลาร์
หลังจากเหตุการณ์นี้ Resolv Labs ได้ออกแถลงการณ์บนแพลตฟอร์ม X ระบุว่า ทีมงานได้ระงับฟังก์ชันของโปรโตคอลทั้งหมดแล้ว ย้ำว่า “กลุ่มทุนสำรองยังสมบูรณ์” ไม่มีการสูญเสียสินทรัพย์พื้นฐาน และเหตุการณ์นี้ถูกมองว่าเป็น “ช่องโหว่ของกลไกการออกเหรียญ USR เท่านั้น”
เรากำลังอยู่ในระหว่างการสืบสวนเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการสร้างเหรียญ USR โดยไม่ได้รับอนุญาต
ในขั้นตอนนี้:
กลุ่มทุนสำรองยังคงสมบูรณ์ ไม่มีสินทรัพย์พื้นฐานใดสูญหาย
ปัญหาเกิดขึ้นเฉพาะกลไกการออกเหรียญ USR เท่านั้น
ความสำคัญเร่งด่วนของเราคือ:
1)…
— Resolv Labs (@ResolvLabs) 22 มีนาคม 2026
การควบคุมสิทธิ์เหมือนเป็นโมฆะ
แม้ทางการจะพยายามลดทอนผลกระทบ แต่ผู้เชี่ยวชาญด้านความปลอดภัยบนบล็อกเชนก็ไม่เชื่อเช่นนั้น นักวิเคราะห์ข้อมูลบนบล็อกเชน Andrew Hong ชี้ว่า ช่องโหว่เกิดจากบัญชีสิทธิพิเศษ “SERVICE_ROLE” ซึ่งรับผิดชอบการดำเนินการแลกเปลี่ยนในโปรโตคอล ที่น่าตกใจคือ สิทธิ์สำคัญนี้ถูกควบคุมโดยบัญชีภายนอกธรรมดา (EOA) ซึ่งเป็นกระเป๋าเงินของบุคคลเดียว ไม่ใช่บัญชีแบบหลายลายเซ็นที่ปลอดภัยกว่า ยิ่งไปกว่านั้น สัญญาออกเหรียญก็ไม่มีการตรวจสอบราคาจาก oracle ไม่มีการตรวจสอบจำนวนเหรียญ และไม่มีการตั้งค่าขีดจำกัดการสร้างเหรียญ
กองทุนการลงทุน DeFi D2 Finance ก็ได้เสนอสามสาเหตุที่เป็นไปได้ ได้แก่ การถูกโจมตีจาก oracle การถูกแฮกเกอร์เจาะระบบลายเซ็นต์นอกระบบ หรือการขาดการตรวจสอบจำนวนเหรียญระหว่างคำขอและการดำเนินการ ส่วนนักวิเคราะห์ YieldsAndMore ที่เป็นคนเปิดเผยเหตุการณ์นี้ก็แสดงความเห็นว่า สำหรับโปรโตคอลอย่าง Resolv ซึ่งมีทุนสำรองในระดับหนึ่ง การขาดการควบคุมความปลอดภัยขั้นพื้นฐานเป็นเรื่องน่ากังวล
Deddy Lavid ซีอีโอของบริษัทด้านความปลอดภัยบนบล็อกเชน Cyvers กล่าวว่า “นี่คือจุดที่ความเสี่ยงของ stablecoin เริ่มปรากฏชัด การตรวจสอบสัญญาเป็นระยะ ๆ ยังไม่เพียงพอ หากไม่มีการตรวจสอบแบบเรียลไทม์เกี่ยวกับการสร้างเหรียญและปริมาณการหมุนเวียน เมื่อเกิดวิกฤติขึ้น ทีมงานก็เหมือนกับถูกปิดตาไม่สามารถรับมือได้”
ภัยพิบัติที่ไม่คาดคิด! เงินเฟ้อที่ไร้ตัวตนล้างผลาญนักลงทุนรายย่อย กระทบเป็นลูกโซ่ในตลาดการกู้ยืม
แม้ทาง Resolv จะอ้างว่ากลุ่มทุนสำรองยังสมบูรณ์ในเชิงเทคนิค แต่คำพูดนี้ดูเหมือนจะประเมินความรุนแรงของเหตุการณ์ต่ำเกินไป นักวิเคราะห์บนบล็อกเชนชี้ว่า การโจมตีนี้ไม่ได้เป็นการ “ปล้น” ทรัพย์สินโดยตรง แต่เป็นการใช้กลยุทธ์ “เงินเฟ้อของอุปทาน” เหรียญ USR จำนวน 80 ล้านเหรียญที่ปรากฏขึ้นอย่างไม่มีเหตุผลในทันที ทำให้มูลค่าการหมุนเวียนในตลาดลดลงอย่างรวดเร็ว และการขายเหรียญของแฮกเกอร์ก็ทำให้ liquidity pool ถูกดูดออกไปอย่างรวดเร็ว ซึ่งหมายความว่า นักลงทุนที่ถือ USR อยู่ในขณะนั้น ก็ได้เผชิญกับการสูญเสียมูลค่าทรัพย์สินในพริบตา
วิกฤตินี้ยังแพร่กระจายไปยังตลาด DeFi การกู้ยืมอื่น ๆ เนื่องจาก USR และเหรียญที่เกี่ยวข้องถูกยอมรับเป็นหลักประกันในแพลตฟอร์มหลายแห่ง เช่น Morpho, Gauntlet นักลงทุนจึงรีบซื้อ USR ในราคาถูก แล้วนำไปกู้ยืมในแพลตฟอร์ม โดยอิงกับราคาคงที่ “1 USR = 1 ดอลลาร์” ซึ่งเป็นราคาที่ตั้งไว้ล่วงหน้า ทำให้เกิดการกู้ยืมเงินจำนวนมากใน USDC ซึ่งเป็นกลยุทธ์ “ปล้นด้วยมือเปล่า” ที่ทำให้คลังสินค้าการกู้ยืมขาดสภาพคล่องอย่างรุนแรง
เคยได้รับการลงทุนหลายสิบล้านและผ่านการตรวจสอบระดับสูง 14 ครั้ง แต่ตอนนี้ร่วงหล่นจากตำแหน่ง
ก่อนที่จะถูกแฮกเกอร์โจมตี เหรียญ USR ของ Resolv ก็มีมูลค่าตลาดลดลงอย่างต่อเนื่อง จากจุดสูงสุดในต้นเดือนกุมภาพันธ์ที่ 4 พันล้านดอลลาร์ จนเหลือประมาณ 1 พันล้านดอลลาร์ก่อนเกิดเหตุการณ์
