DeFi terdesentralisasi Resolv Labs mengungkapkan pada hari Minggu bahwa penyerang memperoleh kunci pribadi proyek, secara bertahap menukar token tersebut menjadi ETH dan mencuri sekitar 23 juta dolar AS. Menanggapi kekhawatiran publik tentang tingkat dampak terhadap protokol Morpho, salah satu pendiri Morpho, Paul Frambot, menjelaskan bahwa dari sekitar 500 vault dengan ukuran simpanan, hanya 15 yang memiliki eksposur besar terhadap pasar terkait (lebih dari 10.000 dolar AS).
Analisis Kerentanan Resolv Labs: Jalur Serangan Pencurian Kunci Pribadi
Kerentanan utama dalam serangan ini bukanlah mekanisme stablecoin Delta netral Resolv Labs sendiri, melainkan kegagalan pengelolaan kunci pribadi di lapisan infrastruktur. Berdasarkan laporan Chainalysis, penyerang mengakses layanan pengelolaan kunci Resolv di Amazon Web Services (AWS), berhasil melewati logika protokol, dan dalam kondisi kontrak pencetakan token yang tidak memiliki pemeriksaan oracle dan batas maksimum pencetakan, melakukan pencetakan besar-besaran dengan biaya sangat rendah.
Jalur serangan sebagai berikut: pencetakan 800 juta USR → ditukar menjadi versi staking → ditukar menjadi USDC → membeli ETH dan mengirim keluar, akhirnya menyebabkan kerugian sekitar 23 juta dolar AS dalam aset ETH, sementara pemegang token USR langsung menanggung dampak keruntuhan nilai. Resolv Labs kemudian menutup fungsi pencetakan dan penukaran secara darurat untuk mencegah kerugian yang lebih besar.
Reaksi Berantai Morpho: Risiko Transmisi dalam Mode Kurator
Protokol Morpho menggunakan mode Kurator, yang memungkinkan pihak ketiga mengelola parameter keamanan dan daftar token dalam kolam pinjaman. Jika terjadi masalah, risiko ditanggung oleh kolam dana kurator, bukan oleh protokol Morpho itu sendiri.
Dalam kejadian ini, kurator yang terkait dengan eksposur USR meliputi Gauntlet, Re7 Labs, kpk, dan 9summits. Pendiri Chaos Labs, Omer Goldberg, menyatakan bahwa beberapa layanan likuiditas otomatis kurator tetap menyediakan likuiditas ke vault terkait beberapa jam setelah kerentanan terjadi, memperbesar kerugian.
Data Kunci tentang Dampak Morpho
Jumlah vault total: sekitar 500
Vault yang terdampak (eksposur lebih dari 10.000 dolar AS): sekitar 15
Jenis vault yang terdampak: mayoritas berstrategi risiko tinggi, menggunakan aset jaminan ekor panjang
Lingkup yang tidak terdampak: Prime Vaults berisiko rendah dan semua vault yang tidak melibatkan eksposur USR atau aset terkait Resolv
Co-founder Morpho, Merlin Egalite, menegaskan, “Kontrak Morpho tidak memiliki kerentanan apa pun. Mereka aman dan berfungsi sesuai harapan.” Paul Frambot juga menambahkan bahwa kurator merespons situasi yang penuh tantangan ini dengan cepat, tim Morpho memberikan bantuan saat diperlukan, dan akan terus bekerja sama dengan kurator untuk meningkatkan alat yang ada.
Pertanyaan Umum
Bagaimana serangan terhadap stablecoin USR dari Resolv Labs terjadi?
Penyerang tidak menyerang mekanisme stabilitas Delta netral USR secara langsung, melainkan memperoleh kunci pribadi Resolv Labs di layanan pengelolaan kunci AWS, melewati logika protokol, dan memanfaatkan kerentanan kontrak pencetakan yang tidak memiliki batas pencetakan dan pemeriksaan oracle, dengan mencetak sekitar 80 juta USR menggunakan jaminan sekitar 100-200 ribu dolar AS, lalu secara bertahap menukarnya menjadi ETH dan menarik sekitar 23 juta dolar AS.
Bagaimana mode kurator Morpho mempengaruhi jangkauan risiko dalam kejadian ini?
Protokol Morpho menyerahkan pengambilan keputusan risiko kepada pihak ketiga kurator, yang dapat mengatur parameter keamanan kolam dana. Dalam kejadian ini, 15 vault yang terdampak semuanya adalah vault berisiko tinggi yang dipilih kurator untuk memasukkan USR sebagai jaminan. Protokol inti Morpho sendiri tidak memiliki kerentanan, dan vault berisiko rendah Prime Vaults serta vault lain yang tidak melibatkan eksposur USR tidak terdampak.
Bagaimana pengguna Morpho harus merespons dampak lanjutan dari kejadian Resolv?
Paul Frambot menyarankan pengguna untuk terus mengikuti pengumuman terbaru dari Resolv Labs dan kurator terkait untuk memahami perkembangan risiko eksposur vault tertentu. Jika memegang bagian dari vault yang melibatkan USR atau aset terkait Resolv, pengguna harus memantau apakah kurator melakukan penyesuaian parameter pengelolaan risiko.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
