Dezentrale Finanzprotokoll Resolv Labs gibt am Sonntag bekannt, dass Angreifer durch den Zugriff auf den privaten Schlüssel eines Projekts schrittweise Ether im Wert von etwa 23 Millionen US-Dollar abzweigten. Um die Bedenken hinsichtlich der Betroffenheit des Morpho-Protokolls zu zerstreuen, klärte Mitbegründer Paul Frambot, dass nur 15 von etwa 500 Tresoren mit größeren Einlagen (über 10.000 US-Dollar) signifikante Markt-Exposures aufweisen.
Resolv Labs Schwachstellenanalyse: Der Angriffspfad durch gestohlenen Private Key
Der Kern der Schwachstelle lag nicht im Delta-neutralen Stablecoin-Mechanismus von Resolv Labs selbst, sondern in der Sicherheitslücke bei der Verwaltung der Private Keys auf Infrastruktur-Ebene. Laut Chainalysis-Bericht auf der Blockchain gelang es den Angreifern, durch Zugriff auf den Resolv-Schlüsselverwaltungsdienst bei Amazon Web Services (AWS) die Protokoll-Logik zu umgehen. Da die Minting-Verträge keine Orakel-Überprüfung und keine Obergrenze für die Token-Ausgabe hatten, konnten sie mit minimalen Kosten eine große Überausgabe durchführen.
Der Angriff verlief folgendermaßen: 80 Millionen USR werden geprägt → in eine gestakte Version umgewandelt → in USDC getauscht → in ETH umgewandelt und abgezogen, was letztlich einen Verlust von etwa 23 Millionen US-Dollar an ETH zur Folge hatte. USR-Inhaber erlitten direkt den Wertverlust. Resolv Labs schaltete daraufhin sofort die Präg- und Tauschfunktionen ab, um den Schaden einzudämmen.
Morpho’s Kettenreaktion: Risikoübertragung im Curator-Modell
Das Morpho-Protokoll nutzt das Curator-Modell, bei dem Drittanbieter die Sicherheitseinstellungen der Kredit- und Einlagepools sowie die Token-Listen verwalten. Bei Problemen trägt der Curator die Risiken, nicht das Morpho-Protokoll selbst.
In diesem Fall waren die Curatoren mit USR-Exposures Gauntlet, Re7 Labs, kpk und 9summits. Omer Goldberg, Gründer von Chaos Labs, erklärte, dass einige Curatoren ihre automatisierten Liquiditätsdienste auch Stunden nach Bekanntwerden der Schwachstelle weiterhin Liquidität in die betroffenen Tresore einspeisten, was die Verluste noch vergrößerte.
Wichtige Daten zum Betroffenheitsgrad von Morpho
- Gesamtzahl der Tresore: ca. 500
- Betroffene Tresore (Exposition > 10.000 USD): ca. 15
- Typ der betroffenen Tresore: hauptsächlich Hochrisiko-Strategien mit Long-Tail-Assets
- Nicht betroffen: Niedrigrisiko-Prime-Vaults und alle Tresore ohne USR- oder Resolv-bezogene Exposures
Merlin Egalite, Mitbegründer von Morpho, betonte: „Die Morpho-Verträge sind frei von Schwachstellen. Sie sind sicher und funktionieren wie vorgesehen.“ Paul Frambot ergänzte, dass die Curatoren schnell auf die Situation reagierten, das Morpho-Team bei Bedarf Unterstützung leistete und weiterhin an der Verbesserung der Tools arbeitet.
Häufig gestellte Fragen
Wie wurde der USR-Stablecoin bei Resolv Labs angegriffen?
Die Angreifer griffen nicht direkt den Delta-neutralen Mechanismus von USR an, sondern erlangten den Private Key von Resolv Labs bei AWS, um die Protokoll-Logik zu umgehen. Durch die fehlende Obergrenze bei der Token-Emission und das Fehlen eines Orakels konnten sie mit etwa 100.000 bis 200.000 USD an Sicherheiten 80 Millionen USR unlimitiert prägen und schrittweise in ETH umwandeln, was einen Wertverlust von ca. 23 Millionen USD verursachte.
Wie beeinflusst das Curator-Modell von Morpho die Risikoübertragung bei diesem Vorfall?
Das Morpho-Protokoll überträgt die Risikoentscheidungen an Dritt-Curatoren, die die Sicherheitseinstellungen der Pools festlegen. Die 15 betroffenen Tresore wurden von Curatoren als Hochrisiko-Tresore eingestuft, die USR als Sicherheiten verwenden. Das Kernprotokoll selbst ist nicht verwundbar, und die Niedrigrisiko-Prime-Vaults sowie alle Tresore ohne USR-Exposition blieben unberührt.
Wie sollten Morpho-Nutzer auf die Nachwirkungen des Resolv-Vorfalls reagieren?
Paul Frambot empfiehlt, die offiziellen Ankündigungen von Resolv Labs und den Curatoren genau zu verfolgen, um die aktuellen Risiken der jeweiligen Tresore zu kennen. Bei Beständen an USR- oder Resolv-bezogenen Assets sollten Nutzer die Risiko-Parameter der Curatoren regelmäßig überprüfen und anpassen.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
