Tôi vừa đọc về một sự cố khá nghiêm trọng xảy ra với Giao thức Resolv cách đây vài tháng và tôi nghĩ nó đáng để bàn luận. Vào tháng 3 năm 2025, họ xác nhận đã bị hack, trong đó ai đó đã tạo ra $80 triệu token USR mà không được phép. Điều điên rồ là thiệt hại thực tế được xác nhận chỉ khoảng 500.000 đô la, nhưng vụ việc này đã phơi bày một điều mà nhiều người chưa nhận thức rõ.

Điều đã xảy ra là các hacker đã truy cập được vào một khóa riêng tư có quyền tạo token. Với quyền đó trong tay, họ đơn giản tạo ra 80 triệu token USR từ không khí. Nhóm phát triển của Resolv đã phản ứng nhanh chóng, ngay lập tức tạm dừng hợp đồng thông minh và đốt khoảng 9 triệu token giả mạo đó. Cơ bản là họ đã kiểm soát thiệt hại trước khi mọi chuyện trở nên tồi tệ hơn.

Điều thú vị trong phân tích này là đây không phải là lỗi của mã hợp đồng thông minh. Đó là một vụ hack vào hạ tầng off-chain kiểm soát các quyền quản trị. Đó chính là điểm mấu chốt: an ninh của các khóa riêng tư quản trị là một yếu tố cực kỳ quan trọng mà nhiều người thường xem nhẹ. Chỉ cần một khóa bị xâm phạm, toàn bộ giao thức có thể sụp đổ.

Các chuyên gia an ninh đã nhiều năm cảnh báo về điều này: cần có đa chữ ký, mô-đun bảo mật phần cứng (HSM), xoay vòng khóa định kỳ. Có khả năng Giao thức Resolv đã trở thành nạn nhân của phishing có mục tiêu, malware trên máy của các nhà phát triển, hoặc điều tương tự. Chúng ta chưa biết chính xác cách họ lấy được khóa, nhưng đó là điều mà điều tra pháp y sẽ tiết lộ.

Về USR, đây là một stablecoin theo thuật toán, không giống như USDC hay DAI có thế chấp. Nó dựa vào các cơ chế thuật toán và thanh khoản của giao thức để duy trì giá. Khi đột nhiên xuất hiện 80 triệu token không có giá trị thế chấp, áp lực bán ra là rất lớn. Đó là lý do phản ứng khẩn cấp lại cực kỳ quan trọng.

So sánh với các vụ hack nổi bật khác trong DeFi: Poly Network mất $611M vào năm 2021, Wormhole Bridge $326M vào năm 2022, Ronin Bridge $625M cũng trong năm 2022. Trong bối cảnh đó, việc Resolv hạn chế thiệt hại ở mức $500K cho thấy phản ứng vận hành tốt, dù không thể phủ nhận rằng vụ hack đã xảy ra.

Điều tôi muốn nhấn mạnh là điều này đến đúng lúc các cơ quan quản lý đã bắt đầu để mắt đến stablecoins. Những sự cố như thế này cung cấp lý do để họ yêu cầu kiểm soát chặt chẽ hơn. Một số người xem đây như bằng chứng cho thấy các hệ thống phi tập trung cần nhiều biện pháp bảo vệ hơn, trong khi những người khác lại cho rằng sự minh bạch và phản ứng nhanh trên blockchain chính là lợi thế.

Với hệ sinh thái DeFi rộng lớn hơn, tôi nghĩ điều này càng nhấn mạnh một điều rõ ràng nhưng luôn bị bỏ qua: đổi mới công nghệ mà không có an ninh vận hành vững chắc là một thảm họa. Tương lai có thể bao gồm các hệ thống giám sát tinh vi hơn, các circuit breaker tự động phát hiện bất thường trước khi con người phải can thiệp.

Bài học từ vụ hack Giao thức Resolv rõ ràng: các cuộc kiểm toán hợp đồng thông minh là cần thiết nhưng chưa đủ. An ninh hạ tầng, quản lý khóa, quy trình vận hành — tất cả đều quan trọng không kém. Nếu bạn xây dựng một giao thức với mã tốt nhất thế giới nhưng khóa riêng tư của bạn nằm trên một mẩu giấy dán, bạn đang gặp rắc rối.