Eksploitasi DeFi pada tahun 2026 sejauh ini telah mencapai $137 juta, dan baru Maret. Papan peringkatnya brutal: • @StepFinance_: $ 27.3 juta • @Truebitprotocol: $ 26.2 juta • @ResolvLabs: $25 juta (kemarin) ​ Jarang dalam sejarah DeFi melihat setoran $100 ribu berubah menjadi stablecoin mint $80 juta dalam hitungan detik. Ini mengingatkan saya pada tesis @a16zcrypto "Spec is Law" pada awal 2026. Berikut adalah rincian lengkap tentang apa yang salah, dan mengapa tesis a16z tidak pernah lebih relevan 🧵👇

1/ Cacat Rahasia Resolv Stablecoin netral delta (USR) @ResolvLabs menggunakan aliran mint hybrid on-chain/off-chain: deposit/penebusan on-chain, @PythNetwork harga yang diverifikasi off-chain. Satu SERVICE_ROLE EOA (bukan multisig) menyelesaikan mint, menciptakan titik kegagalan tunggal yang kritis.

2/ Bagaimana Ekstraksi $25 Juta Terjadi Ini bukan bug kontrak. Sekitar pukul 02:21 UTC pada tanggal 22 Maret, seorang penyerang membahayakan kunci SERVICE_ROLE dan melewati verifikasi. - Normal: Pengguna menyetor $100k USDC → SERVICE_ROLE memeriksa oracle → 100k USR dicetak. - Eksploitasi: Penyerang menyetor $100 ribu USDC → oracle dilewati → 80 juta USR yang dicetak dalam dua panggilan. - Tidak ada batas on-chain, pemeriksaan rasio, atau batas pasokan yang menghentikannya. Penyerang membungkus dan membuang USR yang tidak didukung di @CurveFinance dan @Uniswap, mendorong USR serendah $0,025. Mereka menukar hasil menjadi ~11.400+ ETH (~$23–$25 juta). Limpahan DeFi menghantam protokol yang menggunakan USR/wstUSR sebagai jaminan (Morpho, Fluid, Aave), memicu hutang macet, likuidasi, dan pembekuan pasar untuk menahan penularan.