จากรายงานของหลายองค์กรด้านความปลอดภัยบนบล็อกเชน การโจมตีช่องโหว่ของ DeFi protocol Resolv เมื่อวันอาทิตย์ที่ผ่านมา แฮกเกอร์ได้สร้างเหรียญ USR จำนวน 80 ล้านเหรียญโดยไม่ต้องค้ำประกันด้วยต้นทุนต่ำมาก หลังจากขายออกอย่างรวดเร็ว ก็สามารถถอนเงินได้ประมาณ 25 ล้านดอลลาร์ ซึ่งไม่เพียงแต่ทำให้ราคาของ USR หลุดจากการเชื่อมโยงกับดอลลาร์อย่างรุนแรง แต่ยังก่อให้เกิดผลกระทบเป็นลูกโซ่ในตลาดการกู้ยืมอีกด้วย
การโจมตีนี้เกิดขึ้นเมื่อประมาณเวลา 10:21 น. ของวันที่ 22 มีนาคม ข้อมูลบนบล็อกเชนแสดงให้เห็นว่า แฮกเกอร์ได้ฝาก USDC จำนวน 100,000 เหรียญเข้าไปในสมาร์ทคอนแทรกต์ของ Resolv แต่สามารถแลกเปลี่ยนเป็น USR ได้สูงสุดถึง 50 ล้านเหรียญ ซึ่งอัตราการแลกเปลี่ยนนี้สูงกว่าปกติถึง 500 เท่า ต่อมา แฮกเกอร์ก็ได้สร้าง USR เพิ่มอีก 30 ล้านเหรียญจากการทำธุรกรรมครั้งที่สอง
USR จาก @ResolvLabs ซื้อขายในราคา 0.01 ดอลลาร์ มีคนสร้าง USR จำนวน 50 ล้านเหรียญด้วย USDC 100,000 ดอลลาร์https://t.co/qc8gTLDx7w pic.twitter.com/fXtjZgxzQk
— YAM 🌱 (@yieldsandmore) 22 มีนาคม 2026
ในฐานะที่เป็นเหรียญ stablecoin ที่อ้างว่ามีการเชื่อมโยงกับดอลลาร์ในอัตรา 1:1 กลไกการทำงานของ USR ไม่พึ่งพาสำรองเงินตราแบบดั้งเดิม แต่ใช้กลยุทธ์การป้องกันความเสี่ยงแบบ Delta-neutral (การสร้างตำแหน่งทั้ง Long และ Short เพื่อชดเชยความผันผวนของราคา) โดยอิงจาก Ethereum และ Bitcoin
ข้อมูลจาก DEX Screener แสดงให้เห็นว่า หลังจากแฮกเกอร์สร้างเหรียญชุดแรก USR ก็ร่วงลงอย่างรวดเร็วใน Pool ของ Curve Finance ซึ่งเป็นแหล่งสภาพคล่องที่มีความลึกที่สุด ภายในเวลาเพียง 17 นาที ราคาลดลงเหลือ 0.025 ดอลลาร์ แม้จะมีการฟื้นตัวขึ้นมาบ้างใกล้ 0.85 ดอลลาร์ แต่ในขณะเขียนบทความ ราคายังไม่สามารถกลับไปแตะ 1 ดอลลาร์ได้
แฮกเกอร์ใช้เทคนิคล้างเงินอย่างชำนาญ ทางฝ่ายเจ้าหน้าที่ชี้แจงว่า “กลุ่มทุนสำรองยังสมบูรณ์” เป็นที่ถกเถียง
หลังจากได้เหรียญแล้ว แฮกเกอร์ (ที่อยู่กระเป๋าเงินเริ่มต้นด้วย 0x04A2) ได้ทำการแลก USR ที่สร้างขึ้นมาเองใน DEX ชั้นนำต่าง ๆ เป็น USDC และ USDT แล้วเปลี่ยนเป็น Ethereum ทั้งหมด ข้อมูลบนบล็อกเชนแสดงว่า กระเป๋าเงินของแฮกเกอร์มี ETH รวมกว่า 11,409 เหรียญ มูลค่าประมาณ 23.7 ล้านดอลลาร์
หลังจากเหตุการณ์นี้ถูกเปิดเผย Resolv Labs ได้ออกแถลงการณ์บนแพลตฟอร์ม X ระบุว่า ทีมงานได้ระงับฟังก์ชันของโปรโตคอลทั้งหมดแล้ว พร้อมยืนยันว่า “กลุ่มทุนสำรองยังสมบูรณ์” ไม่มีการสูญเสียสินทรัพย์พื้นฐานใด ๆ และเหตุการณ์นี้ถูกมองว่าเป็น “ช่องโหว่ของกลไกการออก USR เท่านั้น”
เรากำลังอยู่ในระหว่างการสอบสวนเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับการสร้าง USR โดยไม่ได้รับอนุญาต
ในขั้นตอนนี้:
กลุ่มทุนสำรองยังคงสมบูรณ์ ไม่มีสินทรัพย์พื้นฐานใดสูญหาย
ปัญหาเกิดขึ้นเฉพาะกลไกการออก USR เท่านั้น
ความสำคัญเร่งด่วนของเราคือ:
1)…
— Resolv Labs (@ResolvLabs) 22 มีนาคม 2026
การควบคุมสิทธิ์เหมือนเป็นโมฆะ
แม้ฝ่ายเจ้าหน้าที่จะพยายามลดทอนผลกระทบ แต่ผู้เชี่ยวชาญด้านความปลอดภัยบนบล็อกเชนไม่เห็นด้วย นักวิเคราะห์ข้อมูลบนบล็อกเชน Andrew Hong ชี้ว่า ช่องโหว่เกิดจากบัญชีสิทธิพิเศษที่รับผิดชอบการแลกเปลี่ยนในโปรโตคอลคือ “SERVICE_ROLE” ซึ่งน่าตกใจที่สิทธิ์สำคัญเช่นนี้ กลับถูกควบคุมโดยบัญชีภายนอกธรรมดา (EOA) ซึ่งเป็นกระเป๋าเงินของบุคคลเดียว ไม่ใช่บัญชีแบบหลายลายเซ็นที่ปลอดภัยกว่า ยิ่งไปกว่านั้น สัญญาการสร้างเหรียญก็ไม่มีการตรวจสอบราคาจาก oracle ไม่มีการตรวจสอบจำนวนเหรียญ และไม่มีการตั้งค่าขีดจำกัดการสร้างเหรียญ
กองทุนการลงทุน DeFi D2 Finance ก็ได้เสนอสามสาเหตุที่เป็นไปได้ ได้แก่ การถูกแทรกแซงโดย oracle, การโจมตีโดยผู้ลงนามนอกเครือข่าย หรือการขาดกระบวนการตรวจสอบจำนวนเหรียญระหว่างคำขอสร้างเหรียญและการดำเนินการ ส่วนนักวิเคราะห์ YieldsAndMore ซึ่งเป็นผู้เปิดเผยเหตุการณ์นี้เป็นกลุ่มแรก ก็แสดงความเห็นว่า สำหรับโปรโตคอลอย่าง Resolv ที่มีทุนจำนวนมาก การขาดการควบคุมความปลอดภัยขั้นพื้นฐานเป็นเรื่องน่ากังวล
Deddy Lavid ซีอีโอของบริษัทด้านความปลอดภัยบนบล็อกเชน Cyvers กล่าวว่า “นี่คือจุดที่ความเสี่ยงของ stablecoin เริ่มปรากฏชัด การตรวจสอบสัญญาเป็นระยะ ๆ อย่างเดียวไม่เพียงพอ หากไม่มีการตรวจสอบแบบเรียลไทม์เกี่ยวกับการสร้างเหรียญและปริมาณการหมุนเวียน เมื่อเกิดวิกฤติขึ้น ทีมงานก็เหมือนถูกตาบอดไม่สามารถรับมือได้”
ภัยพิบัติที่ไม่คาดคิด! เงินเฟ้อที่ไร้ตัวตนปล้นชาวบ้านอย่างเงียบ ๆ ผลกระทบเป็นลูกโซ่ในตลาดการกู้ยืม
แม้ฝ่าย Resolv จะยืนยันว่ากลุ่มทุนสำรองยังสมบูรณ์ในเชิงเทคนิค แต่คำพูดนี้ดูเหมือนจะประเมินความรุนแรงของเหตุการณ์ต่ำเกินไป นักวิเคราะห์บนบล็อกเชนชี้ว่า การโจมตีนี้ไม่ได้เป็นการ “ปล้นธนาคาร” โดยตรง แต่เป็นการใช้กลยุทธ์ “การเพิ่มอุปทาน” ซึ่งเหรียญ USR จำนวน 80 ล้านเหรียญที่ปรากฏขึ้นมาอย่างไร้ต้นทุน ทำให้มูลค่าการหมุนเวียนในตลาดลดลงอย่างรวดเร็ว แฮกเกอร์ก็ขายเหรียญทิ้งจนทำให้ liquidity pool ถูกดูดออกไปอย่างรวดเร็ว ซึ่งหมายความว่า นักลงทุนที่ถือ USR อยู่ในขณะนั้น ก็ได้ประสบกับการสูญเสียมูลค่าทรัพย์สินในทันที
วิกฤตินี้ยังแพร่กระจายไปยังตลาด DeFi การกู้ยืมอื่น ๆ เนื่องจาก USR และเหรียญที่เกี่ยวข้องถูกยอมรับเป็นหลักประกันในแพลตฟอร์มหลายแห่ง เช่น Morpho, Gauntlet ทำให้นักเก็งกำไรรีบซื้อ USR ในราคาถูก แล้วนำไปใช้ในแพลตฟอร์มกู้ยืม โดยอิงกับราคาคงที่ “1 USR = 1 ดอลลาร์” ซึ่งเป็นราคาที่ตั้งไว้ล่วงหน้า เพื่อกู้ยืม USDC จำนวนมาก การดำเนินการนี้เป็นการฉวยโอกาส “ปล้นด้วยมือเปล่า” ซึ่งทำให้กล่องเงินกู้ถูกดูดออกไปอย่างรวดเร็ว
จากที่เคยได้รับทุนหลายสิบล้านและผ่านการตรวจสอบความปลอดภัยระดับสูง 14 ครั้ง ตอนนี้ตกต่ำลงอย่างรุนแรง
ก่อนหน้านี้ ก่อนการโจมตีของแฮกเกอร์ สภาพคล่องของโปรโตคอล Resolv ก็เริ่มลดลงอย่างต่อเนื่อง มูลค่าตลาดของ USR เคยสูงสุดถึง 4 พันล้านดอลลาร์ในต้นเดือนกุมภาพันธ์ แต่ก็ลดลงเหลือประมาณ 1 พันล้านดอลลาร์ก่อนเกิดเหตุการณ์
