Resolv مفتاح خاص مسروق 23 مليون دولار، Morpho تؤكد سلامة البروتوكول الرئيسي

التمويل اللامركزي (DeFi) - Resolv Labs يكشف عن هجوم يوم الأحد، حيث تمكن المهاجمون من الحصول على المفاتيح الخاصة للمشروع واستبدالها تدريجيًا بعملة الإيثيريوم وسرقة حوالي 23 مليون دولار. وفي رد على الشكوك حول مدى تأثر بروتوكول Morpho، أوضح Paul Frambot، أحد المؤسسين المشاركين لـ Morpho، أنه من بين حوالي 500 خزنة بحجم ودائع، هناك فقط 15 خزنة لديها تعرض كبير للسوق (أكثر من 10,000 دولار).

تحليل ثغرة Resolv Labs: مسار الهجوم عبر سرقة المفاتيح الخاصة

المشكلة الأساسية في الهجوم ليست في آلية استقرار العملات المستقرة Delta الخاصة بـ Resolv Labs، بل في إدارة المفاتيح الخاصة على البنية التحتية. وفقًا لتقرير Chainalysis، تمكن المهاجمون من الوصول إلى خدمة إدارة المفاتيح الخاصة بـ Resolv على Amazon Web Services (AWS)، وتجاوز منطق البروتوكول، وفي ظل غياب فحوصات Oracle وحدود لعدد العملات المصدرة، قاموا بعملية إصدار كميات هائلة من العملات بشكل غير مشروع وبكلفة منخفضة.

مسار الهجوم كان كالتالي: إصدار 80 مليون USR → استبدالها بنسخة مكدسة → استبدالها بـ USDC → شراء ETH وتحويله للخروج، مما أدى إلى خسارة حوالي 23 مليون دولار من أصول ETH، وتحمل مالكو رموز USR مباشرة تأثير انهيار القيمة. بعد ذلك، أغلقت Resolv Labs وظائف الإصدار والتحويل بشكل عاجل لمنع توسع الخسائر.

رد فعل Morpho: انتقال التأثير عبر نظام السلسلة

يعتمد بروتوكول Morpho على نموذج Curator (المنسق)، الذي يسمح للجهات الخارجية بإدارة معلمات أمان مجمعات الإقراض وقوائم الرموز، وإذا حدثت مشكلة، يتحمل صندوق المنسق المخاطر، وليس بروتوكول Morpho نفسه.

في هذه الحادثة، شملت الجهات المنسقة التي تعرضت لـ USR Gauntlet وRe7 Labs وkpk و9summits. وأشار Omer Goldberg، مؤسس Chaos Labs، إلى أن بعض خدمات السيولة الآلية التي يديرها المنسقون استمرت في تقديم السيولة للخزائن المعنية بعد ساعات من وقوع الثغرة، مما زاد من حجم الخسائر.

البيانات الرئيسية حول تأثير Morpho

• إجمالي عدد الخزائن: حوالي 500 خزانة
• الخزائن المتأثرة (تعرض أكثر من 10,000 دولار): حوالي 15 خزانة
• نوع الخزائن المتأثرة: غالبًا استراتيجيات عالية المخاطر تعتمد على أصول مرهونة طويلة الأجل
• النطاق غير المتأثر: Prime Vaults ذات المخاطر المنخفضة وجميع الخزائن التي لا تتعلق بـ USR أو أصول Resolv

أكد Merlin Egalite، أحد المؤسسين المشاركين لـ Morpho، أن “عقود Morpho لا تحتوي على أي ثغرات. فهي آمنة وتعمل كما هو متوقع.” وأضاف Paul Frambot أن المنسقين استجابوا بسرعة لهذه الحالة الصعبة، وقدم فريق Morpho المساعدة عند الحاجة، وسيواصل التعاون مع المنسقين لتحسين الأدوات الحالية.

الأسئلة الشائعة

كيف تم الهجوم على USR المستقرة من قبل Resolv Labs؟

لم يهاجم المهاجمون آلية استقرار USR Delta مباشرة، بل حصلوا على المفاتيح الخاصة لـ Resolv Labs على خدمة إدارة المفاتيح AWS، وتجاوزوا منطق البروتوكول، واستغلوا ثغرة غياب حدود الإصدار ووجود فحوصات Oracle، حيث قاموا بإصدار حوالي 80 مليون USR باستخدام ضمانات تتراوح بين 100,000 و200,000 دولار، ثم حولوها تدريجيًا إلى ETH وسحبوا حوالي 23 مليون دولار.

كيف يؤثر نموذج المنسق في Morpho على نطاق انتقال المخاطر في هذا الحادث؟

يعتمد بروتوكول Morpho على تفويض قرارات المخاطر إلى جهات خارجية منسقة، التي يمكنها تخصيص معلمات أمان مجمعات التمويل. الخزائن المتأثرة الـ 15 كانت من تلك التي اختار المنسقون إدراج USR كضمان عالي المخاطر، بينما لا توجد ثغرات في بروتوكول Morpho الأساسي، ولم تتأثر خزائن Prime Vaults ذات المخاطر المنخفضة أو تلك التي لا تتعلق بـ USR.

كيف ينبغي لمستخدمي Morpho التعامل مع التداعيات المستمرة لحادث Resolv؟

نصح Paul Frambot المستخدمين بمراقبة إعلانات Resolv Labs والمنسقين المعنيين بشكل مستمر لمتابعة آخر التطورات حول تعرض الخزائن للمخاطر. إذا كانوا يمتلكون حصصًا في خزائن تتعلق بـ USR أو أصول Resolv، فيجب عليهم متابعة ما إذا كان المنسقون يقومون بتعديل معلمات إدارة المخاطر.