Resolv Khóa riêng bị đánh cắp 23 triệu đô la, Morpho xác nhận giao thức chính an toàn

Hợp đồng tài chính phi tập trung Resolv Labs đã tiết lộ vào Chủ nhật rằng, kẻ tấn công đã lấy được khóa riêng của dự án để từ đó dần dần đổi thành Ethereum và lấy đi khoảng 23 triệu USD. Để làm rõ những lo ngại của cộng đồng về mức độ ảnh hưởng của vụ tấn công đối với hợp đồng Morpho, đồng sáng lập Morpho, Paul Frambot, đã giải thích rằng trong khoảng 500 kho bạc có quy mô gửi tiền, chỉ có 15 kho bạc có mức độ rủi ro lớn hơn 10.000 USD.

Phân tích lỗ hổng của Resolv Labs: Đường tấn công lấy cắp khóa riêng

Lỗ hổng chính của vụ tấn công không phải do cơ chế ổn định trung tính Delta của Resolv Labs, mà là do quản lý khóa riêng tại tầng hạ tầng bị thất thoát. Theo báo cáo trên chuỗi của Chainalysis, kẻ tấn công đã truy cập vào dịch vụ quản lý khóa của Resolv trên Amazon Web Services (AWS), thành công vượt qua logic của giao thức, và trong bối cảnh hợp đồng đúc tiền thiếu kiểm tra oracle và giới hạn tổng số tiền đúc, đã thực hiện việc đúc tiền quy mô lớn với chi phí cực thấp.

Đường tấn công như sau: đúc 80 triệu USR → đổi lấy phiên bản staking → đổi lấy USDC → mua ETH rồi chuyển ra ngoài, cuối cùng gây thiệt hại khoảng 23 triệu USD ETH, trong đó người sở hữu token USR phải chịu tác động của sự sụp đổ giá trị. Resolv Labs đã nhanh chóng đóng chức năng đúc tiền và đổi tiền để ngăn chặn thiệt hại lan rộng.

Phản ứng dây chuyền của Morpho: Rủi ro truyền qua mô hình Curator

Hợp đồng Morpho sử dụng mô hình Curator, cho phép các tổ chức quản lý bên thứ ba tùy chỉnh các tham số an toàn của các quỹ cho vay và danh sách token, nếu xảy ra vấn đề, rủi ro sẽ do quỹ của curator chịu trách nhiệm chứ không phải hợp đồng Morpho.

Trong vụ việc này, các curator liên quan đến rủi ro USR gồm có Gauntlet, Re7 Labs, kpk và 9summits. Người sáng lập Chaos Labs, Omer Goldberg, cho biết một số dịch vụ thanh khoản tự động của curator vẫn tiếp tục cung cấp thanh khoản cho các kho bạc liên quan vài giờ sau khi lỗ hổng xảy ra, làm tăng thêm thiệt hại.

Dữ liệu quan trọng về tình hình ảnh hưởng của Morpho

• Tổng số kho bạc: khoảng 500 kho bạc
• Kho bạc bị ảnh hưởng (rủi ro vượt quá 10.000 USD): khoảng 15 kho bạc
• Loại kho bạc bị ảnh hưởng: chủ yếu là các chiến lược rủi ro cao, sử dụng tài sản thế chấp dài hạn
• Phạm vi không bị ảnh hưởng: các Prime Vaults có rủi ro thấp và tất cả các kho bạc không liên quan đến USR hoặc tài sản liên quan đến Resolv

Đồng sáng lập Morpho, Merlin Egalite, khẳng định rõ: “Hợp đồng của Morpho không có bất kỳ lỗ hổng nào. Chúng an toàn và hoạt động đúng như dự kiến.” Paul Frambot cũng bổ sung rằng các curator phản ứng nhanh với tình hình đầy thử thách này, đội ngũ Morpho đã hỗ trợ khi cần thiết và sẽ tiếp tục hợp tác với các curator để cải thiện các công cụ hiện có.

Các câu hỏi thường gặp

USR Stablecoin của Resolv Labs bị tấn công như thế nào?

Kẻ tấn công không tấn công trực tiếp cơ chế ổn định trung tính Delta của USR, mà lấy được khóa riêng của Resolv Labs trên dịch vụ quản lý khóa của AWS, vượt qua logic của giao thức, lợi dụng lỗ hổng hợp đồng đúc tiền thiếu giới hạn và kiểm tra oracle, đã đúc không giới hạn 80 triệu USR với khoảng 100.000 đến 200.000 USD tài sản thế chấp, rồi dần dần chuyển đổi thành ETH để rút ra khoảng 23 triệu USD.

Mô hình curator của Morpho ảnh hưởng như thế nào đến phạm vi rủi ro lan truyền trong vụ việc này?

Morpho giao quyền quyết định rủi ro cho các curator bên thứ ba, cho phép họ tùy chỉnh các tham số an toàn của quỹ. Trong vụ này, 15 kho bạc bị ảnh hưởng đều là các kho bạc mà curator đã chọn đưa USR vào danh sách tài sản thế chấp có rủi ro cao, còn hợp đồng chính của Morpho không có lỗ hổng, các Prime Vaults có rủi ro thấp và các kho bạc không liên quan đến USR đều không bị ảnh hưởng.

Người dùng Morpho nên làm gì để đối phó với hậu quả của vụ việc Resolv?

Paul Frambot khuyên người dùng nên theo dõi các thông báo mới nhất từ Resolv Labs và các curator liên quan để cập nhật tình hình rủi ro của các kho bạc cụ thể. Nếu đang nắm giữ phần vốn liên quan đến USR hoặc tài sản liên quan đến Resolv, cần theo dõi sát sao các curator có thể điều chỉnh các tham số quản lý rủi ro.