DeFi terdesentralisasi Resolv Labs mengungkapkan pada hari Minggu bahwa penyerang memperoleh kunci pribadi proyek, secara bertahap menukar token tersebut menjadi ETH dan mencuri sekitar 23 juta dolar AS. Menanggapi kekhawatiran publik tentang tingkat dampak terhadap protokol Morpho, salah satu pendiri Morpho, Paul Frambot, menjelaskan bahwa dari sekitar 500 vault dengan ukuran simpanan, hanya 15 yang memiliki eksposur besar terhadap pasar terkait (lebih dari 10.000 dolar AS).
Analisis Kerentanan Resolv Labs: Jalur Serangan Pencurian Kunci Pribadi
Kerentanan utama dalam serangan ini bukanlah mekanisme stablecoin Delta netral Resolv Labs sendiri, melainkan kegagalan pengelolaan kunci pribadi di lapisan infrastruktur. Berdasarkan laporan Chainalysis, penyerang mengakses layanan pengelolaan kunci Resolv di Amazon Web Services (AWS), berhasil melewati logika protokol, dan dalam kondisi kontrak pencetakan token yang tidak memiliki pemeriksaan oracle dan batas maksimum pencetakan, melakukan pencetakan besar-besaran dengan biaya sangat rendah.
Jalur serangan sebagai berikut: pencetakan 800 juta USR → ditukar menjadi versi staking → ditukar menjadi USDC → membeli ETH dan mengirim keluar, akhirnya menyebabkan kerugian sekitar 23 juta dolar AS dalam aset ETH, sementara pemegang token USR langsung menanggung dampak keruntuhan nilai. Resolv Labs kemudian menutup fungsi pencetakan dan penukaran secara darurat untuk mencegah kerugian yang lebih besar.
Reaksi Berantai Morpho: Risiko Transmisi dalam Mode Kurator
Protokol Morpho menggunakan mode Kurator, yang memungkinkan pihak ketiga mengelola parameter keamanan dan daftar token dalam kolam pinjaman. Jika terjadi masalah, risiko ditanggung oleh kolam dana kurator, bukan oleh protokol Morpho itu sendiri.
Dalam kejadian ini, kurator yang terkait dengan eksposur USR meliputi Gauntlet, Re7 Labs, kpk, dan 9summits. Pendiri Chaos Labs, Omer Goldberg, menyatakan bahwa beberapa layanan likuiditas otomatis kurator tetap menyediakan likuiditas ke vault terkait beberapa jam setelah kerentanan terjadi, memperbesar kerugian.
Data Kunci tentang Dampak Morpho
Jumlah vault total: sekitar 500
Vault yang terdampak (eksposur lebih dari 10.000 dolar AS): sekitar 15
Jenis vault yang terdampak: mayoritas berstrategi risiko tinggi, menggunakan aset jaminan ekor panjang
Lingkup yang tidak terdampak: Prime Vaults berisiko rendah dan semua vault yang tidak melibatkan eksposur USR atau aset terkait Resolv
Co-founder Morpho, Merlin Egalite, menegaskan, “Kontrak Morpho tidak memiliki kerentanan apa pun. Mereka aman dan berfungsi sesuai harapan.” Paul Frambot juga menambahkan bahwa kurator merespons situasi yang penuh tantangan ini dengan cepat, tim Morpho memberikan bantuan saat diperlukan, dan akan terus bekerja sama dengan kurator untuk meningkatkan alat yang ada.
Pertanyaan Umum
Bagaimana serangan terhadap stablecoin USR dari Resolv Labs terjadi?
Penyerang tidak menyerang mekanisme stabilitas Delta netral USR secara langsung, melainkan memperoleh kunci pribadi Resolv Labs di layanan pengelolaan kunci AWS, melewati logika protokol, dan memanfaatkan kerentanan kontrak pencetakan yang tidak memiliki batas pencetakan dan pemeriksaan oracle, dengan mencetak sekitar 80 juta USR menggunakan jaminan sekitar 100-200 ribu dolar AS, lalu secara bertahap menukarnya menjadi ETH dan menarik sekitar 23 juta dolar AS.
Bagaimana mode kurator Morpho mempengaruhi jangkauan risiko dalam kejadian ini?
Protokol Morpho menyerahkan pengambilan keputusan risiko kepada pihak ketiga kurator, yang dapat mengatur parameter keamanan kolam dana. Dalam kejadian ini, 15 vault yang terdampak semuanya adalah vault berisiko tinggi yang dipilih kurator untuk memasukkan USR sebagai jaminan. Protokol inti Morpho sendiri tidak memiliki kerentanan, dan vault berisiko rendah Prime Vaults serta vault lain yang tidak melibatkan eksposur USR tidak terdampak.
Bagaimana pengguna Morpho harus merespons dampak lanjutan dari kejadian Resolv?
Paul Frambot menyarankan pengguna untuk terus mengikuti pengumuman terbaru dari Resolv Labs dan kurator terkait untuk memahami perkembangan risiko eksposur vault tertentu. Jika memegang bagian dari vault yang melibatkan USR atau aset terkait Resolv, pengguna harus memantau apakah kurator melakukan penyesuaian parameter pengelolaan risiko.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Rhea Finance mengalami serangan dari Oracle dan rugi 18,40 juta dolar AS: ZachXBT memberi peringatan, Tether membekukan 4,34 juta USDT, penyerang mengembalikan sebagian dana
Rhea Finance mengalami serangan manipulasi Oracle di NEAR Protocol, dengan kerugian mencapai 18,40 juta dolar AS, dua kali lebih besar dari perkiraan awal. Penyerang memanipulasi kuotasi token palsu, sehingga terjadi kesalahan penilaian nilai agunan. Tether membekukan 4,34 juta USDT, penyerang mengembalikan sekitar 3,50 juta dolar AS, dan hingga kini dana yang berhasil dipulihkan melebihi 7,80 juta dolar AS, yang menegaskan pentingnya keamanan Oracle.
ChainNewsAbmedia7jam yang lalu
DNS eth.limo Diserang, Vitalik Mendesak Pengguna untuk Menunda Akses dan Beralih ke IPFS
Vitalik Buterin memperingatkan pada 18 April tentang serangan terhadap pencatat DNS untuk eth.limo, mendesak pengguna untuk menghindari mengakses vitalik.eth.limo dan halaman terkait. Ia menyarankan menggunakan IPFS sebagai alternatif sampai masalah tersebut terselesaikan.
GateNews7jam yang lalu
Bursa Tersanksi Grinex Diserang Peretasan $13,7 Juta; Menyalahkan Layanan Intelijen Asing
Grinex, bursa kripto-ruble yang dikenai sanksi, telah menghentikan operasinya karena serangan siber yang mencuri lebih dari $13.74 juta dalam USDT. Serangan tersebut diduga melibatkan aktor tingkat negara yang bertujuan untuk mengganggu sistem keuangan Rusia. Grinex bekerja sama dengan penegak hukum, tetapi tidak memiliki jadwal waktu untuk memulai kembali layanan.
Coinpedia15jam yang lalu
Figure Menghadapi Tuduhan Short Seller Terkait Klaim Integrasi Blockchain; Saham FIGR Turun 53% Dari Puncak Januari
Figure Technology Solutions menghadapi tuduhan dari Morpheus Research karena melebih-lebihkan penggunaan teknologinya berbasis blockchain, yang menyebabkan penurunan signifikan pada harga saham. Figure membela operasinya, menyoroti fitur aset digital dan metrik kinerja yang kuat.
GateNews22jam yang lalu
Penipu Kripto asal Houston Divonis 23 Tahun untuk Skema $20M Meta-1 Coin
Robert Dunlap, seorang pengusaha asal Houston, dijatuhi hukuman 23 tahun penjara karena penipuan kripto $20 juta yang melibatkan aset palsu dan praktik menipu, yang berdampak pada lebih dari 1.000 korban. Kasusnya mencerminkan meningkatnya kejahatan siber terkait kripto secara lebih luas.
GateNews04-17 12:11
SlowMist Memperingatkan Serangan Phishing Aktif Menggunakan Perangkat Lunak Palsu "Harmony Voice"
Tim keamanan SlowMist telah memperingatkan adanya kampanye social engineering yang menargetkan pengguna mata uang kripto. Para penipu berpura-pura sebagai mitra proyek untuk menipu pengguna agar mengunduh aplikasi berbahaya yang disamarkan sebagai alat penerjemahan. Pengguna disarankan untuk memverifikasi keaslian perangkat lunak.
GateNews04-17 11:46
