Resolv Kunci Pribadi Dicuri $23 Juta, Morpho Konfirmasi Protokol Utama Aman

DeFi terdesentralisasi Resolv Labs mengungkapkan pada hari Minggu bahwa penyerang memperoleh kunci pribadi proyek, secara bertahap menukar token tersebut menjadi ETH dan mencuri sekitar 23 juta dolar AS. Menanggapi kekhawatiran publik tentang tingkat dampak terhadap protokol Morpho, salah satu pendiri Morpho, Paul Frambot, menjelaskan bahwa dari sekitar 500 vault dengan ukuran simpanan, hanya 15 yang memiliki eksposur besar terhadap pasar terkait (lebih dari 10.000 dolar AS).

Analisis Kerentanan Resolv Labs: Jalur Serangan Pencurian Kunci Pribadi

Kerentanan utama dalam serangan ini bukanlah mekanisme stablecoin Delta netral Resolv Labs sendiri, melainkan kegagalan pengelolaan kunci pribadi di lapisan infrastruktur. Berdasarkan laporan Chainalysis, penyerang mengakses layanan pengelolaan kunci Resolv di Amazon Web Services (AWS), berhasil melewati logika protokol, dan dalam kondisi kontrak pencetakan token yang tidak memiliki pemeriksaan oracle dan batas maksimum pencetakan, melakukan pencetakan besar-besaran dengan biaya sangat rendah.

Jalur serangan sebagai berikut: pencetakan 800 juta USR → ditukar menjadi versi staking → ditukar menjadi USDC → membeli ETH dan mengirim keluar, akhirnya menyebabkan kerugian sekitar 23 juta dolar AS dalam aset ETH, sementara pemegang token USR langsung menanggung dampak keruntuhan nilai. Resolv Labs kemudian menutup fungsi pencetakan dan penukaran secara darurat untuk mencegah kerugian yang lebih besar.

Reaksi Berantai Morpho: Risiko Transmisi dalam Mode Kurator

Protokol Morpho menggunakan mode Kurator, yang memungkinkan pihak ketiga mengelola parameter keamanan dan daftar token dalam kolam pinjaman. Jika terjadi masalah, risiko ditanggung oleh kolam dana kurator, bukan oleh protokol Morpho itu sendiri.

Dalam kejadian ini, kurator yang terkait dengan eksposur USR meliputi Gauntlet, Re7 Labs, kpk, dan 9summits. Pendiri Chaos Labs, Omer Goldberg, menyatakan bahwa beberapa layanan likuiditas otomatis kurator tetap menyediakan likuiditas ke vault terkait beberapa jam setelah kerentanan terjadi, memperbesar kerugian.

Data Kunci tentang Dampak Morpho

Jumlah vault total: sekitar 500

Vault yang terdampak (eksposur lebih dari 10.000 dolar AS): sekitar 15

Jenis vault yang terdampak: mayoritas berstrategi risiko tinggi, menggunakan aset jaminan ekor panjang

Lingkup yang tidak terdampak: Prime Vaults berisiko rendah dan semua vault yang tidak melibatkan eksposur USR atau aset terkait Resolv

Co-founder Morpho, Merlin Egalite, menegaskan, “Kontrak Morpho tidak memiliki kerentanan apa pun. Mereka aman dan berfungsi sesuai harapan.” Paul Frambot juga menambahkan bahwa kurator merespons situasi yang penuh tantangan ini dengan cepat, tim Morpho memberikan bantuan saat diperlukan, dan akan terus bekerja sama dengan kurator untuk meningkatkan alat yang ada.

Pertanyaan Umum

Bagaimana serangan terhadap stablecoin USR dari Resolv Labs terjadi?

Penyerang tidak menyerang mekanisme stabilitas Delta netral USR secara langsung, melainkan memperoleh kunci pribadi Resolv Labs di layanan pengelolaan kunci AWS, melewati logika protokol, dan memanfaatkan kerentanan kontrak pencetakan yang tidak memiliki batas pencetakan dan pemeriksaan oracle, dengan mencetak sekitar 80 juta USR menggunakan jaminan sekitar 100-200 ribu dolar AS, lalu secara bertahap menukarnya menjadi ETH dan menarik sekitar 23 juta dolar AS.

Bagaimana mode kurator Morpho mempengaruhi jangkauan risiko dalam kejadian ini?

Protokol Morpho menyerahkan pengambilan keputusan risiko kepada pihak ketiga kurator, yang dapat mengatur parameter keamanan kolam dana. Dalam kejadian ini, 15 vault yang terdampak semuanya adalah vault berisiko tinggi yang dipilih kurator untuk memasukkan USR sebagai jaminan. Protokol inti Morpho sendiri tidak memiliki kerentanan, dan vault berisiko rendah Prime Vaults serta vault lain yang tidak melibatkan eksposur USR tidak terdampak.

Bagaimana pengguna Morpho harus merespons dampak lanjutan dari kejadian Resolv?

Paul Frambot menyarankan pengguna untuk terus mengikuti pengumuman terbaru dari Resolv Labs dan kurator terkait untuk memahami perkembangan risiko eksposur vault tertentu. Jika memegang bagian dari vault yang melibatkan USR atau aset terkait Resolv, pengguna harus memantau apakah kurator melakukan penyesuaian parameter pengelolaan risiko.