Resolv USR Stablecoin Depegs Setelah Penyerang Mencetak 80 Juta Token Tanpa Dukungan dalam Eksploitasi Kontrak

Seorang penyerang memanfaatkan kerentanan dalam kontrak pencetakan stablecoin USR Resolv pada 22 Maret 2026, menciptakan sekitar 80 juta token tidak didukung dari sekitar $200.000 USDC dan mengeluarkan perkiraan $25 juta, menyebabkan USR jatuh ke $0,025 di Curve sebelum sebagian pulih ke sekitar $0,85.

Eksploitasi ini berasal dari peran pencetakan yang diberi hak istimewa yang dikendalikan oleh satu akun eksternal (EOA) tanpa batas pencetakan atau validasi oracle, memungkinkan penyerang mencetak 50 juta USR dalam satu transaksi dan 30 juta dalam transaksi lain. Resolv Labs menghentikan semua fungsi protokol setelah insiden dan menyatakan bahwa kolateralnya “tetap utuh sepenuhnya” dengan “tidak ada aset dasar” yang hilang, meskipun pemegang USR yang ada mengalami kerugian langsung akibat dilusi pasokan.

Penyerang mengonversi stablecoin yang dicetak menjadi sekitar 11.409 ETH (senilai sekitar $23,7 juta) dan memegang tambahan $1,1 juta dalam token USR yang dibungkus.

Mekanisme Serangan dan Kerentanan Teknis

Timeline Eksploitasi

Serangan dimulai sekitar pukul 2:21 pagi UTC pada 22 Maret, dengan transaksi pertama menunjukkan penyerang menyetor 100.000 USDC ke kontrak USR Counter Resolv dan menerima 50 juta USR sebagai imbalan—sekitar 500 kali lipat dari jumlah yang diharapkan. Transaksi kedua mencetak tambahan 30 juta USR. Dalam 17 menit dari pencetakan pertama, USR turun ke $0,025 di pool Curve Finance yang paling likuid.

Penyebab Utama: Kontrol Akses Lemah

Analis onchain Andrew Hong mengaitkan pelanggaran ini dengan SERVICE_ROLE protokol, sebuah akun istimewa yang menyelesaikan permintaan swap. Kerentanan kritis meliputi:

Pengendalian EOA tunggal: SERVICE_ROLE dikendalikan oleh satu akun eksternal biasa, bukan dompet multisignature

Tanpa batas pencetakan: Kontrak pencetakan tidak memiliki batas maksimum pencetakan

Tanpa validasi oracle: Tidak ada pemeriksaan oracle untuk memverifikasi harga atau jaminan kolateral

Validasi jumlah hilang: Tidak ada validasi antara permintaan pencetakan dan penyelesaian

D2 Finance, dana DeFi, menguraikan tiga kemungkinan penjelasan untuk eksploitasi ini: manipulasi oracle, kompromi signer off-chain, atau ketidakadaan validasi jumlah antara permintaan dan penyelesaian pencetakan.

Konteks Pasca Kejadian Keamanan

Situs web Resolv memamerkan 14 audit dari lima perusahaan, bounty bug Immunefi sebesar $500.000, dan pemantauan kontrak pintar secara berkelanjutan. Meski sudah melakukan langkah-langkah ini, protokol tetap rentan terhadap apa yang para ahli keamanan sebut sebagai “blind spot” dalam cakupan keamanan—kunci dan kredensial sensitif yang tidak memegang dana secara langsung tetapi dapat digunakan untuk mengaksesnya.

Ido Sofer, CEO perusahaan manajemen kunci Sodot, mencatat: “Ini terkait dengan tren yang berkembang dari serangan yang fokus pada blind spot tim keamanan—kunci dan kredensial sensitif yang tidak memegang dana secara langsung, tetapi dapat digunakan untuk mengakses dana tersebut.”

Dampak Pasar dan Kerugian Pengguna

Runtuhnya Harga USR dan Pemulihan

USR, stablecoin yang dipatok dolar dan menggunakan strategi lindung nilai delta-netral yang didukung ETH dan BTC daripada cadangan fiat, jatuh ke $0,025 di Curve dalam 17 menit setelah pencetakan pertama. Token ini kemudian pulih ke sekitar $0,85 tetapi belum mengembalikan patoknya hingga Minggu pagi.

Likuiditas dan Kerusakan Kolateral

Serangan ini menciptakan 80 juta token baru, mengencerkan pasokan yang ada. Penjualan USR yang dicetak oleh penyerang untuk USDC, USDT, dan akhirnya ETH menghancurkan likuiditas pool. Siapa pun yang memegang USR saat kejadian mengalami kerugian langsung.

Depeg ini memicu efek berantai di pasar pinjaman DeFi. USR dan derivatif stake-nya, wstUSR, diterima sebagai jaminan di platform seperti Morpho dan Gauntlet. Pedagang oportunistik dilaporkan membeli USR dengan harga diskon dan meminjam USDC terhadapnya dengan nilai $1 yang dikodekan keras, menguras likuiditas stablecoin dari vault yang terdampak.

Eksposur Lapisan Asuransi RLP

Kerusakan mungkin meluas ke tranche junior Resolv, yaitu Resolv Liquidity Pool (RLP), yang berfungsi sebagai lapisan asuransi yang menyerap kerugian untuk melindungi pemegang USR. YieldsAndMore mencatat bahwa RLP memiliki sekitar $38,6 juta dalam sirkulasi pada harga sebelum eksploitasi. Pemegang RLP terbesar adalah Stream Finance, protokol hasil yang mengungkapkan kerugian $93 juta pada November 2025 setelah manajer dana eksternal menyalahgunakan aset. Stream memegang posisi RLP sebesar 13,6 juta di Morpho yang mewakili sekitar $17 juta eksposur bersih, yang berarti deposan mereka bisa menghadapi kerugian besar lainnya.

Latar Belakang Protokol dan Konteks Industri

Gambaran Resolv

Resolv berbasis di Abu Dhabi mengumpulkan $10 juta dalam putaran seed pada April 2025 yang dipimpin oleh Cyber.Fund dan Maven11, dengan partisipasi dari Coinbase Ventures, Arrington Capital, dan Animoca Ventures. Diinkubasi melalui Delphi Labs, protokol ini menawarkan hasil melalui arbitrase tingkat pendanaan dan sistem dua tranche yang memadukan USR dengan lapisan asuransi RLP yang membawa risiko.

Sebelum serangan, kapitalisasi pasar USR sudah menurun dari sekitar $400 juta pada awal Februari menjadi sekitar $100 juta. Token tata kelola RESOLV turun sekitar 8,5% setelah kejadian.

Tren Eksploitasi DeFi 2026

Insiden Resolv menambah rangkaian eksploitasi crypto yang meningkat di awal 2026:

Januari 2026: Truebit kehilangan $26,6 juta setelah penyerang menargetkan kerentanan dalam kontrak pintar yang dideploy lima tahun lalu

Januari 2026: Makina Finance kehilangan sekitar $5 juta dari pool stablecoin setelah serangan manipulasi oracle pinjaman kilat

Laporan Immunefi yang dirilis minggu lalu menemukan bahwa rata-rata peretasan crypto kini menelan biaya sekitar $25 juta, dengan lima eksploitasi terbesar pada 2024-2025 menyumbang 62% dari seluruh dana yang dicuri.

Konteks Regulasi

Waktu terjadinya eksploitasi bertepatan dengan debat legislatif aktif di AS mengenai regulasi stablecoin berbunga di bawah GENIUS Act. Asosiasi Bankir Amerika memperingatkan bahwa produk semacam itu dapat menarik simpanan dari bank tradisional, sementara senator utama mencapai “kesepakatan secara prinsip” tentang perlakuan hasil stablecoin pada 20 Maret 2026.