DeFi descentralizado Resolv Labs reveló el domingo que un atacante, al obtener la clave privada del proyecto, fue canjeando gradualmente los fondos por Ether y se llevó aproximadamente 23 millones de dólares. Para aclarar las dudas sobre el impacto en el protocolo Morpho, el cofundador de Morpho, Paul Frambot, explicó que, de unas 500 bóvedas con depósitos, solo 15 tienen una exposición significativa en el mercado (más de 10,000 dólares).
Análisis de la vulnerabilidad de Resolv Labs: ruta del ataque por robo de clave privada
La vulnerabilidad principal en este ataque no fue el mecanismo de stablecoin Delta neutral de Resolv Labs, sino una falla en la gestión de claves privadas en la infraestructura. Según el informe en cadena de Chainalysis, el atacante accedió al servicio de gestión de claves de Resolv en Amazon Web Services (AWS), logrando evadir la lógica del protocolo y, en un contrato de emisión sin verificaciones de oráculo ni límites máximos de emisión, realizó una emisión masiva a bajo costo.
La ruta del ataque fue la siguiente: emisión de 80 millones de USR → intercambio por versión en staking → intercambio por USDC → compra de ETH y transferencia para retirar fondos, resultando en una pérdida de aproximadamente 23 millones de dólares en ETH, afectando directamente a los poseedores de USR ante la caída de su valor. Resolv Labs cerró de emergencia las funciones de emisión y canje para evitar mayores pérdidas.
Reacción en cadena de Morpho: transmisión de riesgos en modo curador
El protocolo Morpho utiliza un modelo de curador, que permite a terceros gestionar los parámetros de seguridad de los fondos de préstamo y las listas de tokens. Si surge un problema, el riesgo recae en el fondo del curador, no en el protocolo Morpho en sí.
En este incidente, los curadores con exposición a USR incluyen a Gauntlet, Re7 Labs, kpk y 9summits. Omer Goldberg, fundador de Chaos Labs, señaló que algunos servicios de liquidez automatizados de los curadores continuaron proporcionando liquidez a las bóvedas afectadas horas después del incidente, amplificando las pérdidas.
Datos clave sobre la afectación en Morpho
- Total de bóvedas: aproximadamente 500
- Bóvedas afectadas (exposición > 10,000 USD): alrededor de 15
- Tipo de bóvedas afectadas: principalmente estrategias de alto riesgo con activos colaterales de cola larga
- Ámbito no afectado: Prime Vaults de bajo riesgo y todas las bóvedas sin exposición a USR o activos relacionados con Resolv
Merlin Egalite, cofundador de Morpho, afirmó claramente: «Los contratos de Morpho no tienen vulnerabilidades. Son seguros y funcionan como se espera». Paul Frambot añadió que los curadores respondieron rápidamente ante esta situación desafiante, el equipo de Morpho brindó asistencia cuando fue necesario y continuará colaborando con los curadores para mejorar las herramientas existentes.
Preguntas frecuentes
¿Cómo fue atacado el stablecoin USR de Resolv Labs?
El atacante no atacó directamente el mecanismo de estabilidad Delta neutral de USR, sino que obtuvo la clave privada de Resolv Labs en AWS, evadió la lógica del protocolo y, aprovechando la falta de límites de emisión y verificaciones de oráculo en el contrato de emisión, emitió sin restricciones 80 millones de USR con unos 100,000 a 200,000 USD en colaterales, y luego los convirtió en ETH, retirando aproximadamente 23 millones de dólares.
¿Cómo afecta el modelo de curador de Morpho a la propagación del riesgo en este incidente?
El protocolo Morpho delega la toma de decisiones de riesgo a terceros curadores, quienes pueden definir los parámetros de seguridad de los fondos. Las 15 bóvedas afectadas son aquellas en las que los curadores eligieron incluir USR como colateral de alto riesgo. El núcleo del protocolo Morpho no tiene vulnerabilidades, y las bóvedas Prime Vaults de bajo riesgo y sin exposición a USR no fueron afectadas.
¿Qué deben hacer los usuarios de Morpho ante las posibles repercusiones del incidente de Resolv?
Se recomienda a los usuarios seguir las actualizaciones de Resolv Labs y de los curadores relacionados para estar informados sobre la exposición de riesgo en las bóvedas. Si poseen participaciones en bóvedas relacionadas con USR o Resolv, deben monitorear si los curadores ajustan los parámetros de gestión de riesgo.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
