DeFi Protocol Resolv Labs revela que, na domingo, um atacante obteve a chave privada do projeto, trocando gradualmente os fundos por ETH e levando cerca de 23 milhões de dólares. Para esclarecer dúvidas sobre o impacto na Morpho, o cofundador Paul Frambot afirmou que, entre aproximadamente 500 cofres, apenas 15 apresentam uma exposição significativa (superior a 10 mil dólares).
Análise da vulnerabilidade do Resolv Labs: caminho do ataque com chave privada roubada
A vulnerabilidade principal não está no mecanismo de stablecoin Delta neutro do Resolv Labs, mas na gestão de chaves privadas na infraestrutura. Segundo o relatório on-chain da Chainalysis, o atacante acessou o serviço de gerenciamento de chaves do Resolv na Amazon Web Services (AWS), contornando a lógica do protocolo, e, sem verificações de oráculos ou limites de emissão, realizou uma emissão em grande escala a baixo custo.
O caminho do ataque foi: emissão de 80 milhões de USR → troca por versão staked → troca por USDC → compra de ETH e transferência, resultando em uma perda de aproximadamente 23 milhões de dólares em ETH, com os detentores de USR sofrendo o impacto da queda de valor. O Resolv Labs fechou emergencialmente as funções de emissão e troca para evitar maiores perdas.
Reação em cadeia na Morpho: risco na gestão curadora
A Morpho usa um modelo de curadores, permitindo que terceiros gerenciem os parâmetros de segurança e a lista de tokens dos pools de empréstimo. Se ocorrer um problema, o risco é assumido pelo pool do curador, não pelo protocolo Morpho.
No incidente, os curadores com exposição ao USR incluem Gauntlet, Re7 Labs, kpk e 9summits. O fundador da Chaos Labs, Omer Goldberg, apontou que alguns curadores continuaram fornecendo liquidez aos cofres afetados horas após a vulnerabilidade, ampliando as perdas.
Dados-chave sobre o impacto na Morpho
Total de cofres: cerca de 500
Cofres afetados (exposição > 10 mil dólares): aproximadamente 15
Tipo de cofres afetados: principalmente estratégias de alto risco, com ativos de garantia de cauda longa
Cofres não afetados: Prime Vaults de baixo risco e cofres sem exposição a USR ou ativos relacionados ao Resolv
O cofundador da Morpho, Merlin Egalite, afirmou claramente: “Os contratos da Morpho não têm vulnerabilidades. São seguros e funcionam como esperado.” Paul Frambot acrescentou que os curadores responderam rapidamente à situação desafiadora, a equipe da Morpho ofereceu suporte quando necessário e continuará colaborando com os curadores para melhorar as ferramentas existentes.
Perguntas frequentes
Como o stablecoin USR do Resolv Labs foi atacado?
O atacante não atacou diretamente o mecanismo Delta neutro do USR, mas obteve a chave privada do serviço de gerenciamento de chaves do Resolv na AWS, contornando a lógica do protocolo. Aproveitando a falta de limites de emissão e verificações de oráculos na smart contract, ele emitiu cerca de 80 milhões de USR com garantias de 100 a 200 mil dólares, e gradualmente trocou por ETH, resultando em uma perda de aproximadamente 23 milhões de dólares.
Como o modelo de curadores da Morpho influencia a propagação do risco neste incidente?
A Morpho delega a decisão de risco a terceiros, os curadores, que podem definir os parâmetros de segurança dos pools. Os 15 cofres afetados eram de alto risco, com USR como garantia, e os curadores optaram por incluí-lo. Os cofres Prime Vaults de baixo risco e os que não envolvem USR não foram afetados, pois o protocolo principal da Morpho não possui vulnerabilidades.
Como os usuários da Morpho devem agir diante das consequências do incidente do Resolv?
Recomenda-se que os usuários acompanhem os anúncios do Resolv Labs e dos curadores para obter informações atualizadas sobre os cofres de risco. Se possuem participações em cofres com USR ou ativos relacionados ao Resolv, devem monitorar se os curadores ajustam os parâmetros de risco.
Aviso: As informações nesta página podem ser provenientes de terceiros e não representam as opiniões ou pontos de vista da Gate. O conteúdo exibido nesta página é apenas para referência e não constitui aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou integridade das informações e não será responsável por quaisquer perdas decorrentes do uso dessas informações. Os investimentos em ativos virtuais apresentam altos riscos e estão sujeitos a uma volatilidade de preços significativa. Você pode perder todo o capital investido. Por favor, compreenda completamente os riscos envolvidos e tome decisões prudentes com base em sua própria situação financeira e tolerância ao risco. Para mais detalhes, consulte o
Aviso Legal.
Related Articles
Polymarket nega acusações de vazamento de 300.000 registros, dizendo que os dados da API são públicos e auditáveis
De acordo com uma publicação no X de 29 de abril da Polymarket, a conta de segurança na internet Dark Web Informer acusou a plataforma de mercado de previsões descentralizada Polymarket de ter sido invadida; mais de 300.000 registros e um kit de exploração de vulnerabilidade teriam sido vazados para fóruns de crimes na internet. A Polymarket, em seguida, negou no X, afirmando que todos os dados on-chain são públicos e podem ser auditados.
MarketWhisper24m atrás
Slow Mist Detecta Exploit de EIP-7702: Pool de Reserva de QNT Perde 1.988,5 QNT (~US$54,93M em ETH)
Mensagem de Notícias da Gate, 29 de abril — Slow Mist detectou uma transação maliciosa explorando uma vulnerabilidade em uma conta EIP-7702, resultando na perda de 1.988,5 QNT (aproximadamente 54,93 ETH) de um pool de reserva de QNT.
A vulnerabilidade surgiu de uma falha estrutural no controle de acesso do pool de reserva
GateNews1h atrás
Relatório da CertiK: multa de US$ 900 milhões por AML, queda de 97% ao ano na fiscalização de criptografia da SEC
De acordo com um relatório publicado em 28 de abril pela empresa de auditoria de segurança em blockchain CertiK, a execução de combate à lavagem de dinheiro (AML) substituiu as determinações de violação de valores mobiliários, tornando-se a principal ameaça regulatória enfrentada pelas empresas cripto. O relatório mostra que o Departamento de Justiça dos EUA e a Rede de Fiscalização de Crimes Financeiros (FinCEN) emitiram no primeiro semestre de 2025 um total de US$ 900 milhões em multas relacionadas a AML; no mesmo período, a Comissão de Valores Mobiliários dos EUA (SEC) teve uma queda anual de 97% nas multas de criptoativos.
MarketWhisper1h atrás
Índia I4C emite alerta: aumento de casos de golpes com links falsos de verificação da Trust Wallet
De acordo com o alerta oficial divulgado em 28 de abril pelo Centro de Coordenação de Crimes na Internet da Índia (I4C), os casos de golpes de “roubo de carteira” contra usuários do Trust Wallet continuam a aumentar. Os atacantes induzem as vítimas a conceder permissões da carteira a contratos inteligentes maliciosos por meio de etapas falsificadas de “verificação de ativos criptográficos”, e os fundos são então transferidos imediatamente por scripts automatizados. O I4C afirma que a tendência de crescimento desses golpes está relacionada ao aumento acentuado no número de reclamações recebidas pelo portal nacional de denúncias de crimes cibernéticos.
MarketWhisper1h atrás
Autoridade Monetária de Hong Kong alerta: HKDAP e emissores de stablecoins não licenciados por meio da HSBC
A Autoridade Monetária de Hong Kong (HKMA) emitiu um anúncio oficial em 28 de abril, apontando que há tokens no mercado usando os códigos “HKDAP” ou “HSBC”. Os tokens acima não são emitidos por emissores licenciados de stablecoins, nem têm qualquer relação com os respectivos emissores licenciados. De acordo com o anúncio da HKMA na mesma data, os dois emissores licenciados de stablecoins — Dingdian Financial Technology Co., Ltd. e The Hongkong and Shanghai Banking Corporation Limited — declararam que não emitiram nenhuma stablecoin regulamentada.
MarketWhisper2h atrás
Violação de dados da Polymarket expõe mais de 300K registros, ator de ameaça divulga ferramentas de exploração
Mensagem do Gate News, 29 de abril — A plataforma descentralizada de mercado de previsões Polymarket parece ter sofrido uma violação de dados, com o ator de ameaça xorcat divulgando mais de 300.000 registros de dados e ferramentas de exploração relacionadas em um fórum conhecido de cibercriminosos. Segundo relatos, os atacantes exploraram endpoints de API não divulgados, bypass de paginação e configurações incorretas de CORS nas APIs Gamma e CLOB da Polymarket para extrair os dados,
GateNews3h atrás
