Finance décentralisée Resolv Labs a révélé dimanche qu’un attaquant, en obtenant la clé privée du projet, a progressivement échangé des fonds contre des ethers et a dérobé environ 23 millions de dollars. Concernant les inquiétudes sur l’impact du protocole Morpho, le co-fondateur Paul Frambot a clarifié que, parmi environ 500 coffres-forts de taille variable, seulement 15 présentent une exposition significative (plus de 10 000 dollars).
Analyse de la faille de Resolv Labs : la voie d’attaque par vol de clé privée
La vulnérabilité principale de cette attaque ne réside pas dans le mécanisme de stablecoin Delta neutre de Resolv Labs, mais dans la gestion des clés privées au niveau de l’infrastructure. Selon le rapport on-chain de Chainalysis, l’attaquant a accédé au service de gestion des clés Resolv sur Amazon Web Services (AWS), contournant la logique du protocole, et a effectué une émission massive de tokens à faible coût, en l’absence de vérification par oracle et de limite maximale d’émission.
La méthode d’attaque est la suivante : émission de 80 millions d’USR → échange contre version stakée → échange contre USDC → achat d’ETH puis transfert, entraînant une perte d’environ 23 millions de dollars en ETH, avec les détenteurs d’USR subissant directement la chute de valeur. Resolv Labs a rapidement désactivé la fonction d’émission et d’échange pour limiter les pertes.
Réaction en chaîne de Morpho : transmission des risques dans le mode curateur
Le protocole Morpho utilise un modèle de curateur, permettant à des gestionnaires tiers de définir les paramètres de sécurité des pools de prêt et la liste des tokens. En cas de problème, le risque est supporté par le pool du curateur, et non par le protocole Morpho lui-même.
Dans cet incident, les curateurs impliqués dans l’exposition USR incluent Gauntlet, Re7 Labs, kpk et 9summits. Omer Goldberg, fondateur de Chaos Labs, a indiqué que certains services de liquidité automatisés des curateurs ont continué à fournir de la liquidité aux coffres concernés plusieurs heures après la découverte de la faille, amplifiant ainsi les pertes.
Données clés sur l’impact sur Morpho
- Nombre total de coffres : environ 500
- Coffres affectés (exposition > 10 000 dollars) : environ 15
- Type de coffres affectés : principalement stratégies à haut risque utilisant des actifs en collatéral à longue queue
- Zones non affectées : Prime Vaults à faible risque et tous les coffres ne contenant pas USR ou actifs liés à Resolv
Merlin Egalite, co-fondateur de Morpho, a affirmé clairement : « Les contrats Morpho ne présentent aucune vulnérabilité. Ils sont sécurisés et fonctionnent comme prévu. » Paul Frambot a également ajouté que les curateurs ont réagi rapidement face à cette situation difficile, que l’équipe Morpho a apporté son assistance si nécessaire, et qu’elle continuera à collaborer avec eux pour améliorer les outils existants.
Questions fréquentes
Comment le stablecoin USR de Resolv Labs a-t-il été attaqué ?
L’attaquant n’a pas directement ciblé le mécanisme Delta neutre de stabilité de USR, mais a obtenu la clé privée de Resolv Labs sur AWS, contournant la logique du protocole. En exploitant l’absence de limite d’émission et de vérification par oracle dans le contrat d’émission, il a créé illégalement 80 millions d’USR avec environ 100 000 à 200 000 dollars de collatéral, puis a progressivement converti en ETH pour retirer environ 23 millions de dollars.
Comment le modèle de curateur de Morpho influence-t-il la propagation du risque ?
Le protocole Morpho confie la prise de décision sur le risque à des curateurs tiers, qui peuvent définir les paramètres de sécurité des pools. Les 15 coffres affectés sont ceux que les curateurs ont classés comme à haut risque en intégrant USR en tant que collatéral. Le protocole principal de Morpho n’a pas été vulnérable, et les coffres à faible risque ou sans exposition à USR n’ont pas été impactés.
Comment les utilisateurs de Morpho doivent-ils réagir face à l’impact de l’incident Resolv ?
Paul Frambot recommande aux utilisateurs de suivre attentivement les annonces de Resolv Labs et des curateurs concernés pour rester informés des évolutions des expositions de risque. Si vous détenez des parts dans des coffres liés à USR ou Resolv, surveillez si les curateurs ajustent leurs paramètres de gestion des risques.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
JPMorgan : Les failles de sécurité de la DeFi et une TVL en stagnation limitent l’adoption institutionnelle
Message de Gate News, 23 avril — Des analystes de JPMorgan, menés par le directeur général Nikolaos Panigirtzoglou, ont déclaré que des exploits persistants de la finance décentralisée (DeFi) et une croissance faible continuent de limiter l’intérêt institutionnel pour le secteur. Le récent piratage du Kelp DAO a effacé environ $20 milliard de la valeur totale verrouillée de DeFi TVL en seulement quelques jours, selon le rapport du mercredi.
GateNewsIl y a 4h
Les sanctions du Trésor américain frappent le sénateur cambodgien pour un réseau d’arnaque crypto
## Aperçu
Le département du Trésor des États-Unis a sanctionné, jeudi, le sénateur cambodgien Kok An et 28 entités qui lui sont associées, selon le (OFAC) du Bureau du contrôle des avoirs étrangers du Trésor. La mesure vise ce que des responsables décrivent comme une vaste opération de fraude en cryptomonnaies en Asie du Sud-Est.
## Le
CryptoFrontierIl y a 4h
Aave gèle les réserves en rsETH sur cinq réseaux à la suite de l’exploit KelpDAO
Message de Gate News, 23 avril — Aave a gelé les réserves en rsETH sur Ethereum Core, Arbitrum, Base, Mantle et Linea, alors que l’effort de redressement s’accélère suite à l’exploit KelpDAO du 18 avril qui a vidé 116 500 rsETH, d’une valeur d’environ $292 million, depuis le pont inter-chaînes de Kelp.
Plusieurs D
GateNewsIl y a 6h
JPMorgan : Les hacks DeFi se multiplient et le mécanisme d’intérêt pour les compressions de TVL suscite l’enthousiasme, les capitaux se déplacent vers l’USDT
Le rapport de JPMorgan estime que les failles dans DeFi persistent, que les attaques contre les ponts inter-chaînes et les oracles se multiplient, ce qui a entraîné un blocage du TVL et affaibli l’attrait des investisseurs institutionnels ; les capitaux se déplacent vers des USDT traçables et pouvant être gelés. Les attaques de KelpDAO et de Rhea Finance révèlent les risques de gestion des risques ; les stablecoins centralisés et la garde sont davantage privilégiés. À long terme, pour s’améliorer, il faut dépasser l’assurance et la gouvernance ; DeFi aura du mal à retrouver les niveaux de TVL élevés de 2021, et les stablecoins seront encore plus concentrés.
ChainNewsAbmediaIl y a 6h
Le chef économiste de Circle propose d'augmenter les taux USDC sur Aave au milieu des retombées de KelpDAO
Message de Gate News, 23 avril — Gordon Liao, économiste en chef de Circle, a proposé d'augmenter cette semaine les paramètres de prêt de l'USDC sur Aave v3 Ethereum Core, après un exploit rsETH de KelpDAO d'un montant de $292 million qui a déclenché une crise de liquidité sur l'ensemble du protocole. La demande de commentaire (Request for Comment) de Liao suggère d'augmenter "Slope 2" à 40 %, avec une cible de 50 %, et de baisser l'utilisation optimale afin d'attirer de nouveaux dépôts et de soulager les tensions sur le marché.
La proposition découle d'une pression aiguë sur le pool USDC d'Aave, qui est resté essentiellement bloqué à une utilisation maximale pendant quatre jours. Au taux actuel d'environ 14 %, Liao affirme que les remboursements sont absorbés presque entièrement par les retraits en file d'attente plutôt que de rétablir une liquidité utilisable. L'incident de KelpDAO s'est répercuté sur les marchés DeFi, faisant chuter la valeur totale verrouillée d'Aave de plus de milliard avant l'exploit à environ 15,3 milliards de dollars, avec des retraits importants et une pression persistante sur l'utilisation dans les marchés de base.
Les retours de la communauté sur le forum de gouvernance d'Aave ont rapidement soulevé des préoccupations concernant les liquidations. L'analyse partagée en réponse à la proposition a constaté que la courbe de taux cible pourrait rapprocher d'environ 70,1 millions de dollars de dette matérielle de la liquidation sur 30 jours, un seul grand portefeuille représentant la majeure partie de l'exposition. Les critiques estiment que des taux plus élevés déplaceraient la douleur des prêteurs bloqués dans les files de retrait vers des emprunteurs opérant avec des coussins limités de facteur de santé. Par ailleurs, certains membres de la communauté se demandent pourquoi Circle, en tant qu'émetteur de l'USDC, cherche des solutions fondées sur la gouvernance plutôt que de fournir un soutien direct à la liquidité. Liao a noté que son message reflète uniquement "des vues personnelles, sans représenter celles de Circle".
Pendant ce temps, l'analyste on-chain EmberCN rapporte que l'attaquant de KelpDAO a échangé quasiment l'ensemble des 75 700 ETH encore sous son contrôle — environ million — contre du bitcoin en quelque 1,5 jour, principalement via THORChain. L'activité a généré environ million de volume de transactions sur THORChain et environ 910 000 $ de frais.
GateNewsIl y a 7h
Mises à niveau majeures de la détection de fraude des CEX : systèmes d’apprentissage automatique et moteur de règles, temps de réponse réduit à des heures
Message de Gate News, 23 avril — Une grande bourse centralisée a annoncé une refonte de son système de lutte contre la fraude en intégrant des modèles d’apprentissage automatique à des moteurs basés sur des règles, en mettant en place une stratégie à double voie où les modèles assurent la défense à long terme et les règles permettent une réponse rapide. Le cadre unifié
GateNewsIl y a 7h
