DeFi descentralizado Resolv Labs reveló el domingo que un atacante, al obtener la clave privada del proyecto, fue canjeando gradualmente los fondos por Ether y se llevó aproximadamente 23 millones de dólares. Para aclarar las dudas sobre el impacto en el protocolo Morpho, el cofundador de Morpho, Paul Frambot, explicó que, de unas 500 bóvedas con depósitos, solo 15 tienen una exposición significativa en el mercado (más de 10,000 dólares).
Análisis de la vulnerabilidad de Resolv Labs: ruta del ataque por robo de clave privada
La vulnerabilidad principal en este ataque no fue el mecanismo de stablecoin Delta neutral de Resolv Labs, sino una falla en la gestión de claves privadas en la infraestructura. Según el informe en cadena de Chainalysis, el atacante accedió al servicio de gestión de claves de Resolv en Amazon Web Services (AWS), logrando evadir la lógica del protocolo y, en un contrato de emisión sin verificaciones de oráculo ni límites máximos de emisión, realizó una emisión masiva a bajo costo.
La ruta del ataque fue la siguiente: emisión de 80 millones de USR → intercambio por versión en staking → intercambio por USDC → compra de ETH y transferencia para retirar fondos, resultando en una pérdida de aproximadamente 23 millones de dólares en ETH, afectando directamente a los poseedores de USR ante la caída de su valor. Resolv Labs cerró de emergencia las funciones de emisión y canje para evitar mayores pérdidas.
Reacción en cadena de Morpho: transmisión de riesgos en modo curador
El protocolo Morpho utiliza un modelo de curador, que permite a terceros gestionar los parámetros de seguridad de los fondos de préstamo y las listas de tokens. Si surge un problema, el riesgo recae en el fondo del curador, no en el protocolo Morpho en sí.
En este incidente, los curadores con exposición a USR incluyen a Gauntlet, Re7 Labs, kpk y 9summits. Omer Goldberg, fundador de Chaos Labs, señaló que algunos servicios de liquidez automatizados de los curadores continuaron proporcionando liquidez a las bóvedas afectadas horas después del incidente, amplificando las pérdidas.
Datos clave sobre la afectación en Morpho
- Total de bóvedas: aproximadamente 500
- Bóvedas afectadas (exposición > 10,000 USD): alrededor de 15
- Tipo de bóvedas afectadas: principalmente estrategias de alto riesgo con activos colaterales de cola larga
- Ámbito no afectado: Prime Vaults de bajo riesgo y todas las bóvedas sin exposición a USR o activos relacionados con Resolv
Merlin Egalite, cofundador de Morpho, afirmó claramente: «Los contratos de Morpho no tienen vulnerabilidades. Son seguros y funcionan como se espera». Paul Frambot añadió que los curadores respondieron rápidamente ante esta situación desafiante, el equipo de Morpho brindó asistencia cuando fue necesario y continuará colaborando con los curadores para mejorar las herramientas existentes.
Preguntas frecuentes
¿Cómo fue atacado el stablecoin USR de Resolv Labs?
El atacante no atacó directamente el mecanismo de estabilidad Delta neutral de USR, sino que obtuvo la clave privada de Resolv Labs en AWS, evadió la lógica del protocolo y, aprovechando la falta de límites de emisión y verificaciones de oráculo en el contrato de emisión, emitió sin restricciones 80 millones de USR con unos 100,000 a 200,000 USD en colaterales, y luego los convirtió en ETH, retirando aproximadamente 23 millones de dólares.
¿Cómo afecta el modelo de curador de Morpho a la propagación del riesgo en este incidente?
El protocolo Morpho delega la toma de decisiones de riesgo a terceros curadores, quienes pueden definir los parámetros de seguridad de los fondos. Las 15 bóvedas afectadas son aquellas en las que los curadores eligieron incluir USR como colateral de alto riesgo. El núcleo del protocolo Morpho no tiene vulnerabilidades, y las bóvedas Prime Vaults de bajo riesgo y sin exposición a USR no fueron afectadas.
¿Qué deben hacer los usuarios de Morpho ante las posibles repercusiones del incidente de Resolv?
Se recomienda a los usuarios seguir las actualizaciones de Resolv Labs y de los curadores relacionados para estar informados sobre la exposición de riesgo en las bóvedas. Si poseen participaciones en bóvedas relacionadas con USR o Resolv, deben monitorear si los curadores ajustan los parámetros de gestión de riesgo.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
El usuario pierde $316K USDC después de firmar una transacción maliciosa de Permit2; GoPlus advierte
Un usuario perdió $316,000 en USDC debido a una transacción maliciosa de Permit2, destacando vulnerabilidades en los mecanismos de aprobación de tokens. GoPlus Security insta a los usuarios a evitar el phishing siguiendo prácticas de seguridad clave e instalando su extensión de protección.
GateNewsHace29m
Cow Protocol sufre un secuestro DNS; los usuarios deben revocar su autorización de inmediato
La plataforma de agregación DEX Cow Swap, construida por Cow Protocol, sufrió un secuestro de DNS el 14 de abril; el atacante alteró los registros de dominio para redirigir el tráfico de los usuarios a un sitio web suplantado y desplegó un procedimiento de vaciado de billeteras. Cow DAO suspendió el servicio de inmediato y recomendó a los usuarios revocar las autorizaciones. Este incidente no afectó los contratos inteligentes del protocolo, pero los usuarios deben estar atentos a los riesgos relacionados y verificar los registros de las transacciones.
MarketWhisperhace1h
Alerta de seguridad de problemas de CoW Swap después de que Blockaid detectara un ataque al frontend
Blockaid ha identificado un ataque de frontend en CoW Swap, marcando su dominio como malicioso. Se recomienda a los usuarios detener las interacciones, revocar las autorizaciones de la billetera y esperar actualizaciones adicionales por parte del equipo de CoW Swap.
GateNewshace6h
¡La Fundación Ethereum también lo usa! El front-end de CoW Swap fue comprometido; los grandes gurús de DeFi recomiendan revocar las autorizaciones (revoke).
La plataforma DeFi de Ethereum, CoW Swap, sufrió un secuestro de DNS el 14 de abril, lo que podría exponer a los usuarios a riesgos de phishing. Aunque el protocolo en sí no fue vulnerado, el riesgo de ataques contra el frontend sigue siendo alto. En el sector se recomienda que los usuarios revoquen las autorizaciones antes de realizar acciones en el futuro. CoW Swap ofrece la funcionalidad de transacciones por lotes y se enfrenta a los ataques MEV; su incidente de seguridad podría afectar a todo el ecosistema DeFi.
ChainNewsAbmediahace7h
Frontend de Cowswap bajo ataque; se insta a los usuarios a revocar permisos
El sistema de seguridad de Blockaid detectó un ataque de frontend en Cowswap, marcando el sitio web COW.FI como malicioso. Se insta a los usuarios a revocar los permisos de la billetera y a no interactuar con el DApp.
GateNewshace10h
