Децентралізована фінансова угода Resolv Labs у неділю повідомила, що зловмисники, отримавши приватний ключ проекту, поступово обмінювали його на ефіріум і вивели близько 23 мільйонів доларів США. Щодо побоювань щодо ступеня впливу на протокол Morpho, співзасновник Morpho Пол Фрамбоїт пояснив, що з приблизно 500 сховищами з депозитами, лише 15 мають значний ризик відкриття (більше 10 000 доларів США).
Аналіз вразливості Resolv Labs: шлях атаки через крадіжку приватного ключа
Основна вразливість цієї атаки полягала не у самому механізмі стабільних монет Delta нейтрального типу Resolv Labs, а у порушенні управління приватними ключами на рівні інфраструктури. За даними on-chain звіту Chainalysis, зловмисники отримали доступ до сервісу управління ключами Resolv на Amazon Web Services (AWS), успішно обійшли логіку протоколу і, оскільки смарт-контракти для емісії не мали перевірки через оракл і обмежень максимальної емісії, змогли з мінімальними витратами здійснити масштабне перевищення ліміту емісії.
Шлях атаки був наступним: емісія 80 мільйонів USR → обмін на стейкінг-версію → обмін на USDC → купівля ETH і виведення коштів, що в підсумку спричинило втрату активів ETH на суму близько 23 мільйонів доларів США, а власники токенів USR безпосередньо зазнали краху їхньої вартості. Resolv Labs у цей час терміново закрив функції емісії та обміну, щоб запобігти подальшому розширенню збитків.
Реакція Morpho: ланцюгова реакція та ризики у моделі кураторів
Протокол Morpho використовує модель кураторів, яка дозволяє стороннім управлінським організаціям налаштовувати параметри безпеки кредитних пулів і список токенів. У разі проблем ризики несуть на собі саме ці куратори, а не протокол Morpho.
У цьому випадку до відкриття USR-експозиції залучені куратори, зокрема Gauntlet, Re7 Labs, kpk і 9summits. Засновник Chaos Labs Омер Голдберг зазначив, що частина автоматизованих сервісів ліквідності кураторів продовжували надавати ліквідність цим сховищам кілька годин після виявлення вразливості, що ще більше посилило збитки.
Ключові дані щодо впливу на Morpho
Загальна кількість сховищ: близько 500
Постраждалі сховища (з відкриттям понад 10 000 доларів): близько 15
Тип постраждалих сховищ: переважно високоризикові стратегії з довгими заставними активами
Область без впливу: низькоризикові Prime Vaults і всі сховища, що не мають відкриття USR або активів, пов’язаних із Resolv
Співзасновник Morpho Мерлін Егалите чітко заявив: «Контракти Morpho не містять жодних вразливостей. Вони безпечні і працюють відповідно до очікувань». Пол Фрамбоїт додав, що куратори швидко відреагували на цю складну ситуацію, команда Morpho надала допомогу за потреби і продовжить співпрацювати з кураторами для покращення існуючих інструментів.
Поширені питання
Як було здійснено атаку на стабільну монету USR від Resolv Labs?
Зловмисники не атакували безпосередньо механізм Delta нейтральної стабільної монети USR, а отримали приватний ключ Resolv Labs у сервісі управління ключами AWS, обійшли логіку протоколу і, використовуючи вразливість відсутності обмежень на емісію і перевірки оракл, без обмежень змогли згенерувати 80 мільйонів USR, що еквівалентно приблизно 10–20 мільйонам доларів у заставі, і поступово обміняли їх на ETH, отримавши близько 23 мільйонів доларів США.
Як модель кураторів у Morpho впливає на поширення ризиків у цьому випадку?
Модель Morpho передає ризики стороннім кураторам, які налаштовують параметри безпеки пулів. У цьому випадку постраждали 15 сховищ, які обрали включити USR до заставних активів і мають високий ризик. Сам протокол Morpho не має вразливостей, а низькоризикові Prime Vaults і сховища без USR залишилися неушкодженими.
Як користувачам Morpho слід реагувати на наслідки події Resolv?
Рекомендується слідкувати за офіційними повідомленнями Resolv Labs і кураторів, щоб бути в курсі актуальних ризиків конкретних сховищ. Якщо у вас є частки у сховищах, що містять USR або пов’язані з Resolv активи, слід уважно стежити за будь-якими змінами у параметрах управління ризиками, які можуть вплинути на ваші активи.
Застереження: Інформація на цій сторінці може походити від третіх осіб і не відображає погляди або думки Gate. Вміст, що відображається на цій сторінці, є лише довідковим і не є фінансовою, інвестиційною або юридичною порадою. Gate не гарантує точність або повноту інформації і не несе відповідальності за будь-які збитки, що виникли в результаті використання цієї інформації. Інвестиції у віртуальні активи пов'язані з високим ризиком і піддаються значній ціновій волатильності. Ви можете втратити весь вкладений капітал. Будь ласка, повністю усвідомлюйте відповідні ризики та приймайте обережні рішення, виходячи з вашого фінансового становища та толерантності до ризику. Для отримання детальної інформації, будь ласка, зверніться до
Застереження.
Пов'язані статті
Фонд Ethereum також використовує його! Інтерфейс CoW Swap було зламано, лідери DeFi радять відкликати (revoke) авторизацію
Платформа DeFi для Ethereum CoW Swap 14 квітня зіткнулася з DNS-«карадженням» (hijacking), через що користувачі можуть наражатися на фішингові ризики. Хоча сам протокол не було зламано, ризик атак на фронтенд залишається високим. У галузі радять користувачам скасувати надані дозволи до того, як вони здійснюватимуть подальші дії. CoW Swap надає функцію пакетних транзакцій і протидіє атакам MEV; її безпековий інцидент може вплинути на всю DeFi-екосистему.
ChainNewsAbmedia21хв. тому
Користувацький інтерфейс Cowswap під атакою, користувачам закликають відкликати дозволи
Система безпеки Blockaid виявила атаку на фронтенд на Cowswap, позначивши вебсайт COW.FI як зловмисний. Користувачів закликають відкликати дозволи гаманця та утриматися від взаємодії з DApp.
GateNews3год тому
Polymarket перевіряє стартапи в екосистемі та бореться з інсайдерською торгівлею й маніпулюванням ринком
Polymarket оголосила про аудит частини інтегрованих початкових проєктів, які, як стверджують, використовували дані облікових записів із ймовірною інсайдерською інформацією, щоб підштовхувати користувачів до торгівлі. Цей крок спрямований на посилення комплаєнсу та відповідь на занепокоєння щодо ризиків інсайдерської торгівлі з боку зовнішніх спостерігачів.
GateNews6год тому
У 1 кварталі 2026 року проєкти Web3 зазнали збитків від хакерів і шахрайства понад 460 млн доларів США, а фішингові атаки домінували
Звіт, опублікований Hacken, показує, що в першому кварталі 2026 року Web3-проєкти через хакерські атаки та шахрайство зазнали збитків у розмірі 464,5 млн доларів США, а фішинг і атаки через соціальну інженерію спричинили втрати на 306 млн доларів США. Крім того, шахрайства з апаратними гаманцями становлять основну частину збитків. Також значні втрати спричиняють вразливості смартконтрактів і збої контролю доступу. У сфері регулювання європейська правова рамка підвищила вимоги до безпечного моніторингу.
GateNews9год тому
RAVE шалений ривок спричиняє сплеск рейдерських монетних гарячок, FF та INX викривають схему «насос-розвантаження»
Останнім часом фальшиві монети, представлені RAVE, викликали бурхливий інвестиційний ажіотаж, але деякі колишні зоряні проєкти, такі як FF і INX, використали цю хвилю для операцій із «розкручуванням і продажем з рук» — швидко піднімаючи ціну монет, щоб заманити роздрібних інвесторів до купівлі, а потім різко їх продаючи, що спричинило стрімке падіння цін. Така поведінка не лише викриває фінансові труднощі з боку команди проєкту, а й підриває довіру інвесторів. Інвесторам потрібно бути пильними щодо сигналів на кшталт короткострокових аномальних підйомів, щоб уникнути ризику бути контрольованими ринком.
MarketWhisper13год тому
ФБР та Індонезія спільно викрили та ліквідували фішингову мережу W3LL, сума збитків у справі перевищує 20 млн доларів США
Співпраця між ФБР США та поліцією Індонезії успішно зірвала фішингову мережу W3LL: вилучено відповідне обладнання та затримано підозрюваних. Набір фішингових інструментів W3LL пропонував підробні сторінки входу за низькою ціною, використовуючи атаки через посередника, щоб легко обходити багатофакторну автентифікацію, формуючи організовану екосистему кіберзлочинності. Ця операція стала ознакою співпраці США та Індонезії в питаннях правозастосування у сфері кіберзлочинів, однак безпекові загрози для користувачів криптовалют усе ще залишаються серйозними.
MarketWhisper17год тому
