Resolv Clé privée volée 23 millions de dollars, Morpho confirme la sécurité du protocole principal

Finance décentralisée Resolv Labs a révélé dimanche qu’un attaquant, en obtenant la clé privée du projet, a progressivement échangé des fonds contre des ethers et a dérobé environ 23 millions de dollars. Concernant les inquiétudes sur l’impact du protocole Morpho, le co-fondateur Paul Frambot a clarifié que, parmi environ 500 coffres-forts de taille variable, seulement 15 présentent une exposition significative (plus de 10 000 dollars).

Analyse de la faille de Resolv Labs : la voie d’attaque par vol de clé privée

La vulnérabilité principale de cette attaque ne réside pas dans le mécanisme de stablecoin Delta neutre de Resolv Labs, mais dans la gestion des clés privées au niveau de l’infrastructure. Selon le rapport on-chain de Chainalysis, l’attaquant a accédé au service de gestion des clés Resolv sur Amazon Web Services (AWS), contournant la logique du protocole, et a effectué une émission massive de tokens à faible coût, en l’absence de vérification par oracle et de limite maximale d’émission.

La méthode d’attaque est la suivante : émission de 80 millions d’USR → échange contre version stakée → échange contre USDC → achat d’ETH puis transfert, entraînant une perte d’environ 23 millions de dollars en ETH, avec les détenteurs d’USR subissant directement la chute de valeur. Resolv Labs a rapidement désactivé la fonction d’émission et d’échange pour limiter les pertes.

Réaction en chaîne de Morpho : transmission des risques dans le mode curateur

Le protocole Morpho utilise un modèle de curateur, permettant à des gestionnaires tiers de définir les paramètres de sécurité des pools de prêt et la liste des tokens. En cas de problème, le risque est supporté par le pool du curateur, et non par le protocole Morpho lui-même.

Dans cet incident, les curateurs impliqués dans l’exposition USR incluent Gauntlet, Re7 Labs, kpk et 9summits. Omer Goldberg, fondateur de Chaos Labs, a indiqué que certains services de liquidité automatisés des curateurs ont continué à fournir de la liquidité aux coffres concernés plusieurs heures après la découverte de la faille, amplifiant ainsi les pertes.

Données clés sur l’impact sur Morpho

• Nombre total de coffres : environ 500
• Coffres affectés (exposition > 10 000 dollars) : environ 15
• Type de coffres affectés : principalement stratégies à haut risque utilisant des actifs en collatéral à longue queue
• Zones non affectées : Prime Vaults à faible risque et tous les coffres ne contenant pas USR ou actifs liés à Resolv

Merlin Egalite, co-fondateur de Morpho, a affirmé clairement : « Les contrats Morpho ne présentent aucune vulnérabilité. Ils sont sécurisés et fonctionnent comme prévu. » Paul Frambot a également ajouté que les curateurs ont réagi rapidement face à cette situation difficile, que l’équipe Morpho a apporté son assistance si nécessaire, et qu’elle continuera à collaborer avec eux pour améliorer les outils existants.

Questions fréquentes

Comment le stablecoin USR de Resolv Labs a-t-il été attaqué ?

L’attaquant n’a pas directement ciblé le mécanisme Delta neutre de stabilité de USR, mais a obtenu la clé privée de Resolv Labs sur AWS, contournant la logique du protocole. En exploitant l’absence de limite d’émission et de vérification par oracle dans le contrat d’émission, il a créé illégalement 80 millions d’USR avec environ 100 000 à 200 000 dollars de collatéral, puis a progressivement converti en ETH pour retirer environ 23 millions de dollars.

Comment le modèle de curateur de Morpho influence-t-il la propagation du risque ?

Le protocole Morpho confie la prise de décision sur le risque à des curateurs tiers, qui peuvent définir les paramètres de sécurité des pools. Les 15 coffres affectés sont ceux que les curateurs ont classés comme à haut risque en intégrant USR en tant que collatéral. Le protocole principal de Morpho n’a pas été vulnérable, et les coffres à faible risque ou sans exposition à USR n’ont pas été impactés.

Comment les utilisateurs de Morpho doivent-ils réagir face à l’impact de l’incident Resolv ?

Paul Frambot recommande aux utilisateurs de suivre attentivement les annonces de Resolv Labs et des curateurs concernés pour rester informés des évolutions des expositions de risque. Si vous détenez des parts dans des coffres liés à USR ou Resolv, surveillez si les curateurs ajustent leurs paramètres de gestion des risques.