$25million diekstrak. 80juta USR dimint dari udara tipis. Peg stablecoin runtuh ke 2.5 sen dalam 17 menit.

Eksploit Resolv Labs adalah salah satu serangan infrastruktur yang paling tereksekusi dengan klinis yang pernah dilihat DeFi pada 2026 — dan detail teknis mengungkapkan dengan tepat mengapa manajemen kunci off-chain tetap menjadi vektor risiko yang paling belum terselesaikan dalam keuangan terdesentralisasi.

Apa yang terjadi.

Penyerang mengompromikan infrastruktur cloud Resolv dan mendapatkan akses ke lingkungan AWS Key Management Service (KMS) protokol — di mana kunci penandatanganan istimewa untuk fungsi SERVICE_ROLE disimpan. Dari sana, jalannya lurus: deposito 100.000 USDC ke kontrak USR Counter melalui fungsi requestSwap, kemudian gunakan SERVICE_ROLE yang dikompromikan untuk memanggil completeSwap() dan atur jumlah mint menjadi 50 juta USR alih-alih jumlah proporsional yang diterima deposit.

Ini diulang. Total sekitar 80 juta USR dimint terhadap beberapa ratus ribu dolar jaminan. Penyerang segera pindah ke pool USR/USDC Curve. Peg USR mencapai 2.5 sen — 17 menit setelah mint pertama dieksekusi.

Penularan.

USR dan turunan terbungkusnya — wstUSR dan RLP — telah terintegrasi di berbagai pasar peminjaman DeFi dan vault hasil kurasi. Ketika peg runtuh, integrasi tersebut menjadi kewajiban. Protokol yang menerima wstUSR sebagai jaminan tiba-tiba terekspos. Beberapa platform harus mengumumkan eksposur mereka dan memperbarui pengguna tentang status dana mereka. Ini adalah mekanisme amplifikasi yang mengubah eksploit protokol tunggal menjadi peristiwa skala sektor.

Pemulihan.

Resolv Labs mengumumkan pada 23 Maret bahwa akan memulihkan penebusan kepada pemegang pra-insiden. Protokol telah bergerak untuk mengatasi kerentanan. IoTeX, yang mengalami eksploit jembatan lintas rantai terpisah pada 21 Februari, secara bersamaan membuka portal klaim langsung yang menawarkan kompensasi 100% kepada pengguna yang terkena dampak.

Konteks yang lebih luas.

Q1 2026 sekarang telah melihat lebih dari $137 juta kerugian DeFi kumulatif. Laporan State of Onchain Security 2026 Immunefi menempatkan rata-rata serangan crypto pada $25 juta — persis sesuai dengan insiden ini. Total lima tahun di seluruh 425 serangan yang dilacak sekarang mencapai $11,9 miliar. Secara kritis: 84% token yang terpengaruh tetap di bawah level pra-hack enam bulan setelah eksploit. Protokol mungkin pulih. Catatan harga token jarang terjadi.

Insiden Resolv bukanlah kerentanan kontrak pintar dalam pengertian konvensional — kodenya tidak rusak. Infrastruktur off-chain-nya yang rusak. Perbedaan itu sangat penting untuk bagaimana industri memikirkan risiko. Kontrak yang diaudit sempurna tidak berarti apa-apa jika kunci penandatanganan yang mengendalikannya berada di lingkungan KMS cloud yang dapat dikompromikan.

Pelajaran struktural tidak berubah sejak pelanggaran Bybit: risiko custodi dan manajemen kunci adalah permukaan serangan dominan dalam crypto. Desentralisasikan kontrak, kemudian tinggalkan kunci di AWS — dan Anda tidak telah mendesentralisasikan apa pun yang penting.

Tetap terinformasi dan berdagang dengan platform yang mengutamakan keamanan. Gate.com.

‍#ResolvLabsHitByExploitAttack #DeFiSecurity #Gate13thAnniversaryGlobalCelebration #GATEio