Децентрализованный финансовый протокол Resolv Labs в воскресенье сообщил, что злоумышленник, получив доступ к приватному ключу проекта, постепенно обменял его на эфир и украл около 23 миллионов долларов. В ответ на опасения общественности относительно степени воздействия на протокол Morpho, соучредитель Morpho Пол Фрамбо пояснил, что из примерно 500 хранилищ с депозитами только 15 имеют значительный риск экспозиции (более 10 000 долларов) на соответствующем рынке.
Анализ уязвимости Resolv Labs: путь атаки через похищение приватного ключа
Основная уязвимость атаки заключалась не в самом механизме стабильных монет Delta нейтральных токенов Resolv Labs, а в нарушении управления приватными ключами на инфраструктурном уровне. Согласно отчету Chainalysis, злоумышленник получил доступ к сервису управления ключами Resolv на Amazon Web Services (AWS), успешно обошел логику протокола и, при отсутствии проверки оракула и ограничения максимального количества эмиссии в смарт-контракте, осуществил масштабное сверхлимитное создание токенов по очень низкой стоимости.
Путь атаки выглядел следующим образом: создание 80 миллионов USR → обмен на стейкинг-версию → обмен на USDC → покупка ETH и вывод средств, что в итоге привело к потере примерно 23 миллионов долларов в ETH, а держатели USR напрямую пострадали от краха стоимости. После этого Resolv Labs срочно отключили функции эмиссии и обмена, чтобы предотвратить дальнейшие потери.
Последствия для Morpho: цепная реакция и риск передачи в режиме кураторства
Протокол Morpho использует модель кураторства, позволяющую сторонним управляющим настраивать параметры безопасности кредитных пулов и список токенов. В случае возникновения проблем риск ложится на управляющего, а не на сам протокол Morphe.
В этом инциденте пострадали 15 пулов с экспозицией USR, среди которых Gauntlet, Re7 Labs, kpk и 9summits. Основатель Chaos Labs Омер Голдберг отметил, что автоматизированные сервисы ликвидности некоторых управляющих продолжали предоставлять ликвидность в хранилища даже спустя несколько часов после обнаружения уязвимости, что усугубило потери.
Ключевые данные о ситуации с Morpho
- Общее количество хранилищ: около 500
- Пострадавшие хранилища (с экспозицией более 10 000 долларов): около 15
- Тип пострадавших хранилищ: в основном высокорискованные стратегии с использованием длинных залоговых активов
- Не пострадавшие области: низкорискованные Prime Vaults и все хранилища, не связанные с USR или Resolv
Соучредитель Morpho Мерлин Эгалите ясно заявил: «Контракты Morpho не содержат уязвимостей. Они безопасны и работают как задумано». Пол Фрамбо добавил, что управляющие быстро отреагировали на сложную ситуацию, команда Morpho оказала необходимую поддержку и продолжит сотрудничество с управляющими для улучшения существующих инструментов.
Часто задаваемые вопросы
Как был осуществлен взлом USR стабильной монеты Resolv Labs?
Злоумышленник не атаковал напрямую механизм стабильности Delta нейтральных токенов USR, а получил доступ к приватному ключу Resolv Labs в AWS, обошел логику протокола и, воспользовавшись отсутствием лимита эмиссии и проверки оракула в смарт-контракте, без ограничений создал 80 миллионов USR, заложив примерно 100–200 тысяч долларов, и постепенно обменял их на ETH, в итоге получив около 23 миллионов долларов.
Как модель кураторства Morpho влияет на распространение риска после инцидента?
Модель Morpho передает ответственность за риск сторонним управляющим, которые могут настраивать параметры безопасности пулов. В этом случае пострадали 15 пулов, выбранных управляющими как высокорискованные с использованием USR в качестве залога. Сам протокол Morpho не содержит уязвимостей, низкорискованные Prime Vaults и все остальные пулы, не связанные с USR, остались невредимыми.
Как пользователи Morpho должны реагировать на последствия инцидента Resolv?
Рекомендуется следить за последними объявлениями Resolv Labs и управляющих, чтобы быть в курсе изменений в рисковых параметрах конкретных пулов. Владельцам долей в пулах, связанных с USR или Resolv, следует внимательно отслеживать возможные корректировки в управлении рисками управляющими.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
Связанные статьи
Российская криптобиржа Grinex приостановила работу после $13M хакерской атаки, подвергая риску сеть обхода санкций
Российская криптовалютная биржа Grinex прекратила работу после кибератаки, которая привела к убыткам свыше $13 миллиона. Остановка затрагивает способность российских компаний конвертировать рубли на международном уровне и создает проблемы для теневой финансовой системы страны.
GateNews13м назад
Хак Kelp DAO, приписываемый группе Lazarus; домен eth.limo захвачен через социальную инженерию
LayerZero сообщила, что эксплойт Kelp DAO, приписываемый группе Lazarus из Северной Кореи, привел к потере $292 миллиона токенов rsETH из-за уязвимостей в ее децентрализованной сети верификаторов. Кроме того, eth.limo столкнулась с захватом домена в результате атаки через социальную инженерию, однако DNSSEC предотвратила серьезный ущерб.
GateNews4ч назад
Хак в DeFi спровоцировал отток $9 миллиардов с Aave: украденные токены использовали как обеспечение
Недавняя хакерская атака, в ходе которой из криптопроекта было выведено почти $300 миллионов, привела к кризису ликвидности на Aave, из‑за чего пользователи вывели около $9 миллиарда. Опасения по поводу качества обеспечения вызвали массовые выводы, подчеркнув риски в DeFi‑кредитовании.
GateNews4ч назад
Фишинговая атака на Ethereum выводит $585K Из средств четырех пользователей, один пострадавший теряет $221K WBTC
Скоординированная фишинговая атака на Ethereum вывела $585,000 со счетов четырех пострадавших, используя права пользователей через обманную ссылку. Этот инцидент подчеркивает быструю потерю средств через социальную инженерию — даже под видом законности.
GateNews6ч назад
Обратите внимание на содержимое подписания! Vercel подвергся атаке с целью вымогательства 2 млн долларов, фронтенд безопасности криптографического протокола бьет тревогу
Облачная платформа разработки Vercel 19 апреля подверглась взлому: злоумышленники получили доступ через сторонний инструмент ИИ, которым пользовались сотрудники, и угрожали вымогательством 2 млн долларов. Хотя доступ к конфиденциальным данным не был получен, возможно, были использованы другие данные. Это событие вызвало опасения по безопасности в криптосообществе; в настоящее время Vercel проводит расследование и рекомендует пользователям заменить ключи.
ChainNewsAbmedia8ч назад
KelpDAO теряет $290M во время атаки Lazarus на LayerZero в группе LayerZero
KelpDAO понес убыток в $290 миллионов из-за сложной атаки на безопасность, связанной с Lazarus Group. Атака использовала уязвимости в конфигурации их системы верификации и подчеркнула риски, связанные с опорой на одноточечную схему верификации. Эксперты отрасли подчеркивают необходимость улучшения настроек безопасности и многоуровневой верификации, чтобы предотвратить будущие инциденты.
CryptoFrontier8ч назад
