DeFi descentralizado Resolv Labs reveló el domingo que un atacante, al obtener la clave privada del proyecto, fue canjeando gradualmente los fondos por Ether y se llevó aproximadamente 23 millones de dólares. Para aclarar las dudas sobre el impacto en el protocolo Morpho, el cofundador de Morpho, Paul Frambot, explicó que, de unas 500 bóvedas con depósitos, solo 15 tienen una exposición significativa en el mercado (más de 10,000 dólares).
Análisis de la vulnerabilidad de Resolv Labs: ruta del ataque por robo de clave privada
La vulnerabilidad principal en este ataque no fue el mecanismo de stablecoin Delta neutral de Resolv Labs, sino una falla en la gestión de claves privadas en la infraestructura. Según el informe en cadena de Chainalysis, el atacante accedió al servicio de gestión de claves de Resolv en Amazon Web Services (AWS), logrando evadir la lógica del protocolo y, en un contrato de emisión sin verificaciones de oráculo ni límites máximos de emisión, realizó una emisión masiva a bajo costo.
La ruta del ataque fue la siguiente: emisión de 80 millones de USR → intercambio por versión en staking → intercambio por USDC → compra de ETH y transferencia para retirar fondos, resultando en una pérdida de aproximadamente 23 millones de dólares en ETH, afectando directamente a los poseedores de USR ante la caída de su valor. Resolv Labs cerró de emergencia las funciones de emisión y canje para evitar mayores pérdidas.
Reacción en cadena de Morpho: transmisión de riesgos en modo curador
El protocolo Morpho utiliza un modelo de curador, que permite a terceros gestionar los parámetros de seguridad de los fondos de préstamo y las listas de tokens. Si surge un problema, el riesgo recae en el fondo del curador, no en el protocolo Morpho en sí.
En este incidente, los curadores con exposición a USR incluyen a Gauntlet, Re7 Labs, kpk y 9summits. Omer Goldberg, fundador de Chaos Labs, señaló que algunos servicios de liquidez automatizados de los curadores continuaron proporcionando liquidez a las bóvedas afectadas horas después del incidente, amplificando las pérdidas.
Datos clave sobre la afectación en Morpho
- Total de bóvedas: aproximadamente 500
- Bóvedas afectadas (exposición > 10,000 USD): alrededor de 15
- Tipo de bóvedas afectadas: principalmente estrategias de alto riesgo con activos colaterales de cola larga
- Ámbito no afectado: Prime Vaults de bajo riesgo y todas las bóvedas sin exposición a USR o activos relacionados con Resolv
Merlin Egalite, cofundador de Morpho, afirmó claramente: «Los contratos de Morpho no tienen vulnerabilidades. Son seguros y funcionan como se espera». Paul Frambot añadió que los curadores respondieron rápidamente ante esta situación desafiante, el equipo de Morpho brindó asistencia cuando fue necesario y continuará colaborando con los curadores para mejorar las herramientas existentes.
Preguntas frecuentes
¿Cómo fue atacado el stablecoin USR de Resolv Labs?
El atacante no atacó directamente el mecanismo de estabilidad Delta neutral de USR, sino que obtuvo la clave privada de Resolv Labs en AWS, evadió la lógica del protocolo y, aprovechando la falta de límites de emisión y verificaciones de oráculo en el contrato de emisión, emitió sin restricciones 80 millones de USR con unos 100,000 a 200,000 USD en colaterales, y luego los convirtió en ETH, retirando aproximadamente 23 millones de dólares.
¿Cómo afecta el modelo de curador de Morpho a la propagación del riesgo en este incidente?
El protocolo Morpho delega la toma de decisiones de riesgo a terceros curadores, quienes pueden definir los parámetros de seguridad de los fondos. Las 15 bóvedas afectadas son aquellas en las que los curadores eligieron incluir USR como colateral de alto riesgo. El núcleo del protocolo Morpho no tiene vulnerabilidades, y las bóvedas Prime Vaults de bajo riesgo y sin exposición a USR no fueron afectadas.
¿Qué deben hacer los usuarios de Morpho ante las posibles repercusiones del incidente de Resolv?
Se recomienda a los usuarios seguir las actualizaciones de Resolv Labs y de los curadores relacionados para estar informados sobre la exposición de riesgo en las bóvedas. Si poseen participaciones en bóvedas relacionadas con USR o Resolv, deben monitorear si los curadores ajustan los parámetros de gestión de riesgo.
Aviso legal: La información de esta página puede proceder de terceros y no representa los puntos de vista ni las opiniones de Gate. El contenido que aparece en esta página es solo para fines informativos y no constituye ningún tipo de asesoramiento financiero, de inversión o legal. Gate no garantiza la exactitud ni la integridad de la información y no se hace responsable de ninguna pérdida derivada del uso de esta información. Las inversiones en activos virtuales conllevan riesgos elevados y están sujetas a una volatilidad significativa de los precios. Podrías perder todo el capital invertido. Asegúrate de entender completamente los riesgos asociados y toma decisiones prudentes de acuerdo con tu situación financiera y tu tolerancia al riesgo. Para obtener más información, consulta el
Aviso legal.
Artículos relacionados
Contrato del Ekubo Swap Router en cadenas EVM afectadas por un incidente de seguridad; se insta a los usuarios a revocar las aprobaciones
Según la publicación oficial de X de Ekubo del 6 de mayo, el contrato de enrutamiento de Swap de la infraestructura AMM en cadenas EVM sufrió un incidente de seguridad. El equipo recomendó a los usuarios revocar de inmediato todas las aprobaciones a las direcciones afectadas, que incluyen las direcciones de contratos V2 y V3 en Ethereum y el contrato V3 en el…
GateNewsHace10m
Drift anuncia un plan de reembolso para los 295 millones de incidentes de piratería reanudados, pagando por los fondos atacados en los monederos afectados
De acuerdo con el anuncio oficial publicado por Drift Protocol en la plataforma X el 6 de mayo, Drift Protocol lanzó oficialmente un plan de recuperación para los usuarios del incidente de hackeo del 1 de abril: cada monedero afectado recibirá un «token de recuperación» (Recovery Token), con un valor de 1 dólar por cada pérdida verificada, como comprobante de reclamación proporcional al fondo de recuperación.
MarketWhisperHace18m
Kelp culpa a LayerZero por el exploit de 292 millones de dólares y planea cambiar a Chainlink
Según el anuncio de Kelp DAO del martes, el protocolo culpó a LayerZero por aprobar una configuración riesgosa que permitió un exploit de 292 millones de dólares el 18 de abril. Kelp dijo que el personal de LayerZero aprobó una configuración de verificador 1-de-1, confiando en una sola entidad para validar transacciones entre cadenas, sin w
GateNewshace3h
Do Kwon condenado a 15 años en EE. UU., el colapso de Terra provocó pérdidas de más de 40 mil millones de dólares
Según Digital Asset, Do Kwon, fundador de Terraform Labs, fue sentenciado a 15 años de prisión por un juez federal de EE. UU. el 12 de diciembre de 2024, por cargos de fraude y blanqueo de capitales. Se espera que Kwon cumpla aproximadamente seis años antes de una posible extradición a Corea del Sur, tras un
GateNewshace8h
Bubblemaps: El token MYSTERY muestra señales de un control concentrado; 90 wallets concentran el 90% del suministro en el momento del lanzamiento
Según la plataforma de análisis on-chain Bubblemaps, el token MYSTERY mostró señales de control concentrado en el lanzamiento, y la plataforma lo describió como una “estafa de manual”. Bubblemaps reveló que aproximadamente 90 carteras acumularon cerca del 90% del suministro del token en el lanzamiento y han sido
GateNewshace10h
