Tóm tắt cốt lõi
Phương thức tấn công: Kẻ tấn công chỉ sử dụng khoảng 100.000 USDC để khai thác một lỗ hổng nghiêm trọng trong chức năng tạo USR — có thể do thao túng oracle, rò rỉ khóa ký Chuỗi hoặc thiếu xác minh số lượng giữa yêu cầu tạo và thực thi — để đúc 80 triệu USR (trị giá khoảng 80 triệu USD) từ hư không, sau đó nhanh chóng được trao đổi lấy tài sản thực.
Lộ trình chênh lệch giá: Những kẻ tấn công đúc USR được tạo ra bất hợp pháp theo từng đợt cho các nhóm thanh khoản như Curve Finance, khiến giá USR giảm xuống mức thấp nhất là 2,5 cent. Trong bối cảnh hỗn loạn của việc hủy neo tỷ giá, chúng đã thu về khoảng 25 triệu đô la và sau đó chuyển đổi số tiền thu được từ chênh lệch giá thành ETH để hoàn tất việc rút tiền.
Phân bổ tổn thất: Theo logic thiết kế của kiến trúc rủi ro hai cấp của Resolv, khoản thiếu hụt tài sản thế chấp do cuộc tấn công lần gây ra trước tiên sẽ do những người nắm giữ quỹ bảo hiểm RLP gánh chịu (giá RLP sẽ giảm khi giá trị tài sản ròng của giao thức giảm), trong khi những người nắm giữ USR về mặt lý thuyết được bảo vệ trước khi giao thức tạm ngừng việc chuộc lại; tuy nhiên, vị thế vòng lặp đòn bẩy USR trên giao thức cho vay như Morpho buộc phải thanh lý do mất neo, dẫn đến tổn thất lần.
Các giao thức liên quan: Các giao thức DeFi chính bị ảnh hưởng bao gồm: Curve Finance (các pool thanh khoản USR/USDC sụp đổ ngay lập tức), Morpho (vị thế đòn bẩy sử dụng USR làm tài sản thế chấp đã kích hoạt thanh lý), Fluid và Euler (cũng có vị thế USR/RLP đang lưu hành).
Cảnh báo ngành: Sự cố lần cho thấy một điểm yếu cơ bản của stablecoin trung tính Delta – điểm kết nối giữa logic tạo tiền và chữ ký/ oracle ngoài Chuỗi là bề mặt tấn công dễ bị tổn thương nhất của hệ thống. Bất kỳ thiết kế hiệu quả vốn nào theo kiểu "tạo 1 đơn vị tiền tệ cho 1 đơn vị tiền tệ" đều phải dựa trên kiểm toán bảo mật hợp đồng cực kỳ nghiêm ngặt.
I. RESOLV và USR: Hiểu rõ hệ thống này là điều cần thiết để hiểu rõ cuộc tấn công lần .
Trước khi bàn về cuộc tấn công, chúng ta cần hiểu cách thức hoạt động của USR — bởi vì kẻ tấn công khai thác điểm yếu nhưng cũng tinh vi nhất trong thiết kế của nó.
Cơ chế cốt lõi của USR: Stablecoin trung tính Delta
USR không phải là stablecoin như USDT, được bảo đảm bằng tiền gửi ngân hàng, cũng không phải là một stablecoin được thế chấp quá mức như Dai . Nó là một stablecoin trung tính Delta — một kiến trúc đạt được trung tính rủi ro ròng bằng cách "nắm giữ một lô ETH spot và short một lô hợp đồng vĩnh viễn ETH" [Chú thích 1].
Lý do rất đơn giản như sau:
Khi bạn gửi 1 đô la ETH đúc 1 USR, giao thức Resolv đồng thời mở một vị thế đầu cơ giá xuống tương đương bằng ETH trên thị trường hợp đồng vĩnh cửu. Nếu ETH tăng, spot sẽ có lãi trong khi thị trường hợp đồng sẽ lỗ; nếu ETH giảm, thị trường hợp đồng sẽ có lãi trong khi spot sẽ lỗ—hai điều này bù trừ cho nhau, và tài sản ròng luôn duy trì ở mức xấp xỉ 1 đô la. Điều này giúp tách USR khỏi giá ETH trong khi vẫn duy trì tỷ giá cố định 1:1 với đô la Mỹ [Ghi chú 2].
Ưu điểm của kiến trúc này là hiệu quả vốn cực kỳ cao: bạn chỉ cần 1 đô la ETH để đúc 1 USR, không cần thế chấp vượt mức. Lợi nhuận đến từ tỷ lệ tài trợ của vị thế phòng ngừa rủi ro (phí mà vị thế mua trả cho đầu cơ giá xuống) và lợi nhuận đặt cọc ETH, do đó người nắm giữ USR có thể nhận được lợi nhuận hàng năm khoảng 5-6%, và lãi suất của phiên bản đặt cọc stUSR thậm chí còn cao hơn [Ghi chú 3].
Kiến trúc hai tầng: Phân tách rủi ro giữa USR và RLP
Để giải quyết câu hỏi "ai nên gánh chịu rủi ro trong quá trình vận hành giao thức", Resolv đã thiết kế cấu trúc token hai cấp:
Hạng USR (ưu tiên cao): Người nắm giữ được hưởng sự bảo vệ ổn định và không phải chịu trách nhiệm về các khoản lỗ;
Lớp RLP (Lớp thứ cấp): Những người nắm giữ RLP đóng vai trò là "quỹ bảo hiểm" cho thỏa thuận, gánh chịu rủi ro thị trường, rủi ro đối tác giao dịch (chẳng hạn như lãi suất tài trợ âm kéo dài) và rủi ro hợp đồng tiềm tàng, để đổi lợi nhuận cao hơn (20-40% hàng năm) [Ghi chú 4].
Các quy tắc rất rõ ràng: bất kỳ khoản lỗ nào sẽ được khấu trừ từ RLP trước, sau đó là từ USR. Khi tỷ lệ tài sản thế chấp của USR giảm xuống dưới 110%, việc mua lại RLP sẽ tự động đóng băng để ưu tiên cho những người nắm giữ USR [Ghi chú 5].
Đây là một tiền đề quan trọng để hiểu được sự phân bổ thiệt hại lần .
Vấn đề cốt lõi của cuộc tấn công: Chức năng tạo tiền tệ có lỗi ở điểm nào?
Đây hiện là phần quan trọng nhất và cũng là phần có thông tin ít đầy đủ nhất. Dữ liệu Chuỗi đã xác nhận một điều: kẻ tấn công đã "mua" USR trị giá 50 triệu đô la Mỹ bằng 100.000 USDC[1]. Tỷ lệ đúc 1:500 này có nghĩa là việc xác minh số lượng đúc của hợp đồng đã hoàn toàn thất bại.
Quỹ crypto D2 Finance đã đề xuất ba giả thuyết về lộ trình tấn công khả thi [Ghi chú 9]:
Giả thuyết A: Thao túng Oracle. Giá đúc USR phụ thuộc vào giá oracle. Nếu kẻ tấn công có thể tạm thời hạ thấp giá oracle trong một giao dịch (ví dụ: bằng cách làm sụp đổ thị trường thông qua Khoản vay nhanh), khiến hợp đồng tin rằng tài sản do người dùng gửi có giá trị cao hơn, thì USR dư thừa có thể đúc[Chú thích 6].
Giả thuyết B: Sự xâm phạm chữ ký Chuỗi chuỗi. Quá trình đúc của Resolv bao gồm bước xác minh chữ ký Chuỗi chuỗi—yêu cầu đúc của người dùng cần được dịch vụ phụ trợ của giao thức ký trước khi có thể thực hiện. Nếu khóa chữ ký này bị đánh cắp, kẻ tấn công có thể ngụy tạo các hướng dẫn đúc hợp pháp cho bất kỳ số lượng nào, bỏ qua tất cả các hạn chế trên Chuỗi[2].
Giả thuyết C: Khoảng cách xác thực giữa yêu cầu và thực thi. Quá trình đúc bao gồm hai bước: "khởi tạo yêu cầu" và "thực thi đúc". Nếu hợp đồng không xác minh một cách nghiêm ngặt rằng số lượng tiền điện tử được thực thi cuối cùng khớp với số lượng được yêu cầu trong quá trình thực thi, kẻ tấn công có thể can thiệp vào các tham số sau khi khởi tạo yêu cầu nhưng trước khi thực thi, do đó đạt được tình đúc quá mức.
Tính đến thời điểm báo cáo, Chính thức vẫn chưa công bố bản phân tích nguyên nhân gốc rễ (RCA) hoàn chỉnh, do đó, chưa thể xác định chắc chắn mức độ ưu tiên của ba giả thuyết nêu trên.
Xét về hiệu quả của cuộc tấn công, giả thuyết B (rò rỉ khóa của người ký) hoặc giả thuyết C (thiếu logic xác minh) có nhiều khả năng xảy ra hơn — bởi vì việc thao túng oracle thường đòi hỏi lượng lớn và rất khó để đạt được sự chênh lệch giá cực lớn như vậy; trong khi đó, khi 80 triệu USR được đúc , khoản đầu tư thực tế của kẻ tấn công là cực kỳ hạn chế, điều này phù hợp hơn với đặc điểm của việc "vượt qua xác minh hợp đồng".
Cách kẻ tấn công rút tiền: Một kịch bản thoát hiểm điển hình trong DeFi.
Sau khi chiếm đoạt được 80 triệu USR, thách thức mà nhóm tấn công phải đối mặt là: làm thế nào để chuyển đổi số stablecoin đúc một cách gian lận này thành giá trị thực?
D2 Finance gọi đây là "lộ trình hacker tiền mặt điển hình của tin tặc DeFi": những kẻ tấn công đã gửi USR theo từng đợt tới nhiều giao thức thanh khoản , ưu tiên bán tháo lượng lớn trong nhóm USR/USDC của Curve Finance (nhóm thanh khoản lớn nhất của USR, với khối lượng giao dịch hàng ngày là 3,6 triệu đô la) [Chú thích 10].
Do thanh khoản của Curve có hạn, khi 80 triệu USR đột ngột đổ vào, hệ thống đã bị quá tải hoàn toàn—giá USR lao dốc từ 1 đô la xuống còn 2,5 cent trong 17 phút. Những kẻ tấn công không có ý định bán tất cả ở mức 1 đô la, mà là dần dần đổi chúng lấy USDC/USDT trong khoảng từ 0,25 đến 0,50 đô la, cuối cùng chuyển đổi số tiền chênh lệch giá thành ETH để hoàn tất việc rút tiền.
PeckShield ước tính số tiền rút ra cuối cùng vào khoảng 25 triệu đô la [Ghi chú 11] – xét đến tổn thất do trượt giá gây ra bởi lượng lớn USR được bán với giá cực thấp, con số này có nghĩa là tỷ lệ rút tiền thực tế của kẻ tấn công là khoảng 30% (25 triệu đô la / 80 triệu đô la). 70% "giá trị" còn lại đã biến mất trong sự trượt giá lớn do cạn kiệt thanh khoản.
III. Sau khi tách khỏi hệ thống thế chấp: Điều gì đã xảy ra với USR, RLP và hệ thống tài sản thế chấp?
Tỷ lệ cho vay trên giá trị tài sản của USR đã giảm mạnh ngay lập tức.
Trong điều kiện bình thường, USR được bảo đảm theo tỷ lệ 1:1 bằng vị thế phòng ngừa rủi ro ETH+. Tuy nhiên, sau khi 80 triệu USR không có tài sản thế chấp được đưa vào hệ thống, tài sản thực tương ứng với tổng lượng cung ứng USR không đủ để quy đổi theo tỷ lệ 1:1 — tỷ lệ tài sản thế chấp đã giảm mạnh xuống dưới 100%.
Điều này trực tiếp kích hoạt cơ chế bảo vệ của lớp RLP — về mặt lý thuyết, giao thức sẽ đóng băng quy đổi RLP để ưu tiên bảo vệ những người nắm giữ USR. Tuy nhiên, đồng thời, vì bản thân USR đã bị tách khỏi tỷ giá cố định (giao dịch ở mức khoảng 0,87 đô la trên thị trường thứ cấp), những người nắm giữ USR cũng phải đối mặt với tổn thất khi bán ở giá thị trường.
Thanh lý theo kiểu dây chuyền giao thức cho vay
Đây là một trong những thiệt hại ngoài ý muốn bị đánh giá thấp nhất trong vụ việc lần.
Tăng trưởng của Resolv phần lớn phụ thuộc vào một chiến lược: người dùng gửi USR làm tài sản thế chấp vào giao thức cho vay như Morpho, Fluid và Euler, vay USDC, sau đó mua vào thêm USR, lặp lại chu kỳ để tạo thành vị thế chu kỳ đòn bẩy (Vòng lặp). Một số người dùng có tỷ lệ đòn bẩy cao tới 10 lần [3].
Khi giá USR giảm mạnh từ 1 đô la xuống còn 0,87 đô la hoặc thậm chí thấp hơn, giá trị tài sản thế chấp của vị thế đòn bẩy này ngay lập tức bốc hơi hơn 13%. Vì giao thức cho vay tự động buộc phải thanh lý khi tỷ lệ tài sản thế chấp giảm xuống dưới mức thanh lý, lượng lớn USR đã bị thanh lý bởi các bot, đẩy thêm USR vào thị trường thứ cấp và tiếp tục làm giảm giá - tạo thành một vòng xoáy áp lực tử thần kinh điển [Chú thích 7].
Có một “MEV Capital Resolv USR Vault” chuyên dụng trên Morpho, nơi TVL đã đạt được kích thước đáng kể trước cuộc tấn công và vị thế này là nơi chịu thiệt hại ngoài dự kiến chính[4].
Sự suy giảm mạnh về TVL của giao thức
TVL của Resolv đã tăng trưởng lên hàng trăm triệu đô la trước cuộc tấn công (đạt đỉnh điểm ở mức hơn 650 triệu đô la, chủ yếu do vị thế đòn bẩy trên Morpho và Euler). Sau khi giao thức bị đình chỉ, người dùng không thể đổi USR và việc tính toán số liệu TVL trở nên hỗn loạn do giá USR bị mất neo.[5]
IV. Ai sẽ chịu tổn thất? Phân tích rủi ro mà mỗi bên phải đối mặt.
Những người nắm giữ RLP là lớp tổn thất đầu tiên trong thiết kế. Khoảng cách tài sản thế chấp gây ra bởi cuộc tấn công (80 triệu USR không được thế chấp đã được đúc) sẽ được phản ánh trực tiếp vào giảm giá trị ròng của RLP - giá của RLP là chứng chỉ vốn chủ sở hữu của phần được thế chấp vượt mức của thỏa thuận và RLP sẽ giảm giá đầu tiên khi có nợ không được bảo đảm trong toàn bộ thỏa thuận [6].
Những người nắm giữ vị thế sử dụng đòn bẩy USR là một trong những đối tượng bị ảnh hưởng nặng nề nhất. Họ không chỉ đối mặt với việc thanh lý (thường đi kèm với mức phạt 5-10%), mà còn bán vị thế giữ dưới giá neo trong giai đoạn hủy neo USR, khiến cho những tổn thất tiếp theo là điều không thể tránh khỏi.
Nhà cung cấp thanh khoản NHÀ CUNG CẤP THANH KHOẢN của Curve chịu Tổn thất tạm thời— khi kẻ tấn công bán lượng lớn USR, nhóm NHÀ CUNG CẤP THANH KHOẢN sẽ tự động hấp thụ lượng lớn USR từ "50% USR/50% USDC" (bán USDC và nắm giữ nhiều USR có giá thấp hơn), dẫn đến tổn thất chênh lệch giá [Chú thích 8].
Đối với những người nắm giữ USR thông thường: Theo thiết kế, nếu giao thức kích hoạt cơ chế tạm ngừng hoạt động bình thường, người nắm giữ USR có thể quy đổi USR của họ theo tỷ lệ 1:1 với tài sản thế chấp thực tế còn lại. Tuy nhiên, vấn đề là sau cuộc tấn công, giao thức đã tạm ngừng tất cả các chức năng, cửa sổ quy đổi bị đóng lại và người bán thực tế chỉ có thể giao dịch ở mức giá thị trường là 0,87 đô la, chịu tổn thất do mất tỷ giá 13%.
V. Ứng phó khẩn cấp: Các biện pháp xử lý của đội ngũ RESOLV
Phản ứng đầu tiên của đội ngũ Resolv là ngay lập tức đình chỉ tất cả các chức năng của giao thức, bao gồm đúc, đổi và chuyển, để cắt đứt quyền truy cập của kẻ tấn công vào các hoạt động tiếp theo[1].
Tính đến thời điểm báo cáo, Resolv đã công khai xác nhận vụ tấn công, nhưng chưa có báo cáo chi tiết sau sự cố và kế hoạch bồi thường chính thức nào được công bố. Điều này phù hợp với khung thời gian điển hình để xử lý các sự cố bảo mật DeFi — đội ngũ thường cần 48-72 giờ để hoàn thành việc điều tra pháp Chuỗi và xác nhận lỗ hổng trước khi đưa ra các kế hoạch khắc phục chi tiết.
Điều đáng chú ý là Resolv trước đây đã hợp tác với Immunefi để thiết lập chương trình tiền thưởng tìm lỗi và triển khai hệ thống giám sát an ninh chủ động của Hypernative [7]. Về mặt lý thuyết, hệ thống này có thể nắm bắt được các tín hiệu cảnh báo sớm về các sự kiện đúc bất thường—điều này đặt ra câu hỏi: liệu hệ thống cảnh báo sớm có được kích hoạt kịp thời hay tốc độ tấn công đã vượt quá thời gian can thiệp thủ công?
Xét từ tốc độ cực nhanh khiến USR lao dốc xuống còn 2,5 cent trong 17 phút, có thể thấy cuộc tấn công này rất hiệu quả và thời gian phản ứng cực kỳ hạn chế.
VI. Cảnh báo đối với các giao thức tương tự: Rủi ro hệ thống của stablecoin trung tính DELTA
Lần cố Resolv không phải là trường hợp cá biệt; đó là một ví dụ điển hình về thất bại trong cuộc đua "đồng đô la ảo" của DeFi.
Bài học cốt lõi 1: Người ký Chuỗi chuỗi là mối nguy hiểm của sự tập trung hóa. Stablecoin trung tính thường giới thiệu các dịch vụ phụ trợ Chuỗi để xác minh đơn đặt hàng nhằm đạt được đúc hiệu quả. "Thành phần ngoài Chuỗi" này về cơ bản là một nút quyền lực tập trung - nếu private key của nó bị rò rỉ, kẻ tấn công về cơ bản sẽ có được quyền đúc tiền trong giao thức. Điều này đưa các điểm yếu bảo mật của Web2 vào Web3[8].
Bài học quan trọng thứ hai: "Hiệu quả vốn 1:1" là con dao hai lưỡi. Các hệ thống thế chấp vượt mức (như MakerDAO) được thiết kế sao cho ngay cả với những lỗi nhỏ trong hợp đồng, tài sản thế chấp dư thừa có thể hấp thụ một số tổn thất. Tuy nhiên, các hệ thống trung tính lại giảm tài sản thế chấp này xuống bằng không — bất kỳ lỗi nào đúc đều trực tiếp tạo ra sự thiếu hụt hệ thống theo tỷ lệ, mà không có sự dự phòng.
Bài học quan trọng thứ ba: Kiểm toán không thể theo kịp tăng trưởng nhanh chóng của TVL. Resolv tăng trưởng từ dưới 50 triệu đô la TVL lên hơn 650 triệu đô la trong ba tháng, chủ yếu nhờ chiến lược vòng lặp đòn bẩy trên Morpho. Sự mở rộng nhanh chóng của độ phức tạp hệ thống và các điểm tích hợp đã gây áp lực rất lớn lên kiểm toán. Những bài học tương tự đã được thấy trong lịch sử DeFi: Euler Finance (mất 197 triệu đô la vào tháng 3 năm 2023) và Inverse Finance (mất 15,6 triệu đô la vào tháng 4 năm 2022) đều là những thảm kịch của "thiết kế hợp lý nhưng logic đúc/ vay mượn bị lỗi" [9].
VII. Kết luận chính
Cuộc tấn công lần không chỉ bộc lộ lỗ hổng trong hợp đồng mà còn cho thấy mâu thuẫn sâu sắc ở cấp độ kiến trúc trong lĩnh vực stablecoin trung tính Delta.
Câu chuyện bắt đầu với thiết kế đầy tham vọng của USR: đạt được hiệu quả vốn 1:1 chỉ thông qua việc phòng ngừa rủi ro phái sinh phái sinh, mà không cần dựa vào dự trữ tiền tệ pháp định hoặc thế chấp vượt mức. Thiết kế này có vẻ hoàn hảo trong giai đoạn tăng trưởng – người dùng đúc 1 USR với 1 USD ETH, và giao thức thưởng cho người dùng bằng phí tài trợ, nhanh chóng tích lũy hàng trăm triệu đô la giá trị bị khóa (TVL).
Tuy nhiên, "hiệu quả vốn 1:1" cũng có nghĩa là hệ thống hoàn toàn không có lớp bảo đảm dự phòng. Một khi lỗ hổng được phát hiện trong logic tạo tiền điện tử—cho dù đó là rò rỉ khóa ký Chuỗi hay thiếu xác minh giữa yêu cầu và thực thi—kẻ tấn công có thể tạo ra bất kỳ số lượng stablecoin với chi phí gần như bằng không. Không giống như các hệ thống được bảo đảm vượt mức, vốn có lớp đệm an toàn, điều này trực tiếp xâm nhập vào hệ thống.
Việc tạo ra 80 triệu token USR chỉ mất 100.000 đô la, 17 phút và giá giảm xuống mức thấp nhất là 2,5 cent. Những kẻ tấn công đã rút 25 triệu đô la giá trị thực, để lại một lỗ hổng bảo mật trong giao thức cần được sửa chữa—và một hóa đơn do những người nắm giữ RLP, người dùng vị thế đòn bẩy và nhà cung cấp thanh khoản cung cấp thanh khoản của Curve soạn thảo, trả giá các chi phí thực tế đã phát sinh.
Những thiệt hại ngoài dự kiến đối với các giao thức ngoại vi như Curve, Morpho, Fluid và Euler cho thấy một khía cạnh khác của "khả năng kết hợp siêu việt" trong thế giới DeFi: tích hợp giữa các giao thức khuếch lợi nhuận trong thời kỳ bình thường, nó cũng khuếch đại rủi ro trong thời kỳ khủng hoảng. Cuối cùng, bài học ở đây là trong DeFi, mỗi cửa sổ hiệu quả mà bạn mở ra đều để lộ một bề mặt tấn công tiềm tàng. Sự tồn tại của các người ký Chuỗi làm cho các giao thức linh hoạt hơn, nhưng nó cũng tạo ra một điểm yếu chết người: sự tập trung hóa.
Ghi chú
[Ghi chú 1] Delta Trung Tính: Một thuật ngữ phái sinh tài chính. Delta đo lường mức độ nhạy cảm tài sản đối với sự thay đổi giá của tài sản cơ sở. "Delta=0" có nghĩa là vị thế giữ không bị ảnh hưởng bởi sự tăng hoặc giảm giá tài sản cơ sở — tức là nó được phòng ngừa rủi ro hoàn toàn. Đối với Resolv, việc nắm giữ 1 đô la ETH (Delta=+1) đồng thời short một lượng ETH tương đương (Delta=-1) dẫn đến Delta ròng bằng 0, do đó thuật ngữ "Delta Trung Tính " được sử dụng.
[Ghi chú 2] Hợp đồng tương lai vĩnh cửu: Một loại hợp đồng tương lai không có ngày hết hạn, và là một công cụ phái sinh phổ biến trên thị trường crypto . Việc nắm giữ hợp đồng tương lai vĩnh đầu cơ giá xuống bán khống có nghĩa là thu lợi nhuận khi giá giảm và lỗ vốn khi tăng , do đó phòng ngừa rủi ro giá của ETH spot .
[Ghi chú 3] Tỷ lệ phí tài trợ: Cơ chế cân bằng trong thị trường hợp đồng vĩnh cửu. Khi vị thế mua vượt quá vị thế đầu cơ giá xuống , các vị thế mua định kì trả "phí tài trợ" cho đầu cơ giá xuống và ngược lại. Là một người bán đầu cơ giá xuống , Resolv thường có thể thu phí tài trợ liên tục trong thị trường crypto thị trường bò , đây là nguồn lợi nhuận chính của họ.
[Ghi chú 4] Khoản đầu tư thứ cấp: Trong cấu trúc phân tầng tài chính, các nhà đầu tư khoản đầu tư thứ cấp là những người đầu tiên chịu tổn thất (tương đương với "lỗ vốn cuộc đầu tiên"), nhưng họ cũng nhận được khoản bồi thường phí rủi ro cao hơn trong việc phân phối lợi nhuận . RLP tương đương với khoản đầu tư thứ cấp trong giao thức Resolv, và USR tương đương với khoản đầu tư cao cấp.
[Ghi chú 5] Điều kiện kích hoạt tỷ lệ thế chấp 110%: Điều này có nghĩa là tổng giá trị của tất cả tài sản thế chấp USR gấp 1,1 lần tổng lượng lưu thông. Khi giá trị giảm xuống dưới ngưỡng này, việc quy đổi RLP sẽ bị tạm dừng để đảm bảo rằng tài sản còn lại được ưu tiên quy đổi bởi những người nắm giữ USR.
[Ghi chú 6] Khoản vay nhanh: Một công cụ cho vay không cần thế chấp dành riêng cho DeFi, yêu cầu việc vay và trả nợ phải được hoàn tất trong cùng một giao dịch (cùng một khối). Kẻ tấn công có thể sử dụng điều này để tạm thời có được lượng lớn tiền nhằm thao túng giá cả, miễn là số tiền được hoàn trả trước khi giao dịch kết thúc, dẫn đến chi phí tài trợ gần như bằng không.
[Ghi chú 7] Vòng xoáy tử thần: Sự sụp đổ tự củng cố trong quá trình giảm nợ: giá tài sản giá giảm → kích hoạt thanh lý → nhiều tài sản hơn được bán đi → giá tiếp tục giảm → kích hoạt thêm thanh lý, và cứ thế tiếp diễn.
[Ghi chú 8] Tổn thất tạm thời không cố định: Một rủi ro đặc thù mà nhà cung cấp thanh khoản của nhà tạo lập thị trường tự động (AMM) phải đối mặt. Khi tỷ lệ giá của hai tài sản trong nhóm lệch khỏi trạng thái ban đầu, giá trị tài sản của NHÀ CUNG CẤP THANH KHOẢN sẽ thấp hơn giá trị của việc trực tiếp nắm giữ hai tài sản đó; sự khác biệt này chính là Tổn thất tạm thời.
[Ghi chú 9] Phân tích của D2 Finance / CoinTelegraph, trích dẫn bình luận của D2 Finance: "Hoặc là oracle đã bị thao túng, hoặc là người ký ngoài chuỗi đã bị xâm phạm, hoặc là việc xác thực số lượng giữa yêu cầu và hoàn thành đơn giản là bị thiếu." Nguồn tương tự như trên.
[Ghi chú 10] CoinTelegraph đưa tin rằng USR có khối lượng giao dịch 24 giờ là 3,6 triệu đô la trong nhóm Curve USR/USDC và giá đã giảm xuống 2,5 cent lúc 2:38 UTC.
[Ghi chú 11] Dữ liệu của PeckShield, được trích dẫn từ cùng nguồn trên CoinTelegraph: "PeckShield ước tính rằng kẻ tấn công đã có thể thu được khoảng 25 triệu đô la từ cuộc tấn công trong bối cảnh đồng USR bị hạ giá."
