Các vụ khai thác DeFi trong năm 2026 cho đến nay đã đạt $137 triệu, và mới chỉ là tháng Ba. Bảng xếp hạng thật tàn khốc: • @StepFinance_: $27.3 triệu • @Truebitprotocol: $26.2 triệu • @ResolvLabs: $25 triệu (Hôm qua) ​ Hiếm khi trong lịch sử DeFi thấy một khoản tiền gửi $100k biến thành một mint stablecoin $80 triệu chỉ trong vài giây. Điều này làm tôi nhớ đến luận thuyết "Spec is Law" của @a16zcrypto vào đầu năm 2026. Dưới đây là phân tích hoàn chỉnh về những gì đã sai, và tại sao luận thuyết của a16z chưa bao giờ trở nên phù hợp hơn thế 🧵👇

1/ Lỗi Bí Mật của Resolv Dòng stablecoin trung lập delta (USR) của @ResolvLabs sử dụng quy trình mint kết hợp trên chuỗi và ngoài chuỗi: gửi/rút tiền trên chuỗi, giá cả của @PythNetwork được xác minh ngoài chuỗi. Một EOA với SERVICE_ROLE duy nhất (không phải multisig) đã hoàn tất việc mint, tạo ra một điểm thất bại quan trọng.

2/ Cách mà vụ rút $25 triệu xảy ra Đây không phải là lỗi hợp đồng. Vào khoảng 2:21 AM UTC ngày 22 tháng 3, một kẻ tấn công đã xâm nhập vào khóa SERVICE_ROLE và bỏ qua xác minh. - Bình thường: Người dùng gửi $100k USDC → SERVICE_ROLE kiểm tra oracle → 100k USR được đúc. - Khai thác: Kẻ tấn công gửi $100k USDC → bỏ qua oracle → 80 triệu USR được đúc trong hai lần gọi. - Không có giới hạn trên chuỗi, kiểm tra tỷ lệ, hoặc giới hạn cung cấp nào ngăn chặn điều này. Kẻ tấn công đã bọc và bán tháo USR không được bảo đảm qua @CurveFinance và @Uniswap, đẩy USR xuống thấp nhất là $0.025. Họ đã hoán đổi số tiền thu được thành ~11,400+ ETH (~$23–$25 triệu). Sự lây lan DeFi đã ảnh hưởng đến các giao thức sử dụng USR/wstUSR làm tài sản thế chấp (Morpho, Fluid, Aave), kích hoạt nợ xấu, thanh lý, và đóng băng thị trường để kiểm soát sự lây lan.