Hợp đồng tài chính phi tập trung Resolv Labs đã tiết lộ vào Chủ nhật rằng, kẻ tấn công đã lấy được khóa riêng của dự án để từ đó dần dần đổi thành Ethereum và lấy đi khoảng 23 triệu USD. Để làm rõ những lo ngại của cộng đồng về mức độ ảnh hưởng của vụ tấn công đối với hợp đồng Morpho, đồng sáng lập Morpho, Paul Frambot, đã giải thích rằng trong khoảng 500 kho bạc có quy mô gửi tiền, chỉ có 15 kho bạc có mức độ rủi ro lớn hơn 10.000 USD.
Phân tích lỗ hổng của Resolv Labs: Đường tấn công lấy cắp khóa riêng
Lỗ hổng chính của vụ tấn công không phải do cơ chế ổn định trung tính Delta của Resolv Labs, mà là do quản lý khóa riêng tại tầng hạ tầng bị thất thoát. Theo báo cáo trên chuỗi của Chainalysis, kẻ tấn công đã truy cập vào dịch vụ quản lý khóa của Resolv trên Amazon Web Services (AWS), thành công vượt qua logic của giao thức, và trong bối cảnh hợp đồng đúc tiền thiếu kiểm tra oracle và giới hạn tổng số tiền đúc, đã thực hiện việc đúc tiền quy mô lớn với chi phí cực thấp.
Đường tấn công như sau: đúc 80 triệu USR → đổi lấy phiên bản staking → đổi lấy USDC → mua ETH rồi chuyển ra ngoài, cuối cùng gây thiệt hại khoảng 23 triệu USD ETH, trong đó người sở hữu token USR phải chịu tác động của sự sụp đổ giá trị. Resolv Labs đã nhanh chóng đóng chức năng đúc tiền và đổi tiền để ngăn chặn thiệt hại lan rộng.
Phản ứng dây chuyền của Morpho: Rủi ro truyền qua mô hình Curator
Hợp đồng Morpho sử dụng mô hình Curator, cho phép các tổ chức quản lý bên thứ ba tùy chỉnh các tham số an toàn của các quỹ cho vay và danh sách token, nếu xảy ra vấn đề, rủi ro sẽ do quỹ của curator chịu trách nhiệm chứ không phải hợp đồng Morpho.
Trong vụ việc này, các curator liên quan đến rủi ro USR gồm có Gauntlet, Re7 Labs, kpk và 9summits. Người sáng lập Chaos Labs, Omer Goldberg, cho biết một số dịch vụ thanh khoản tự động của curator vẫn tiếp tục cung cấp thanh khoản cho các kho bạc liên quan vài giờ sau khi lỗ hổng xảy ra, làm tăng thêm thiệt hại.
Dữ liệu quan trọng về tình hình ảnh hưởng của Morpho
- Tổng số kho bạc: khoảng 500 kho bạc
- Kho bạc bị ảnh hưởng (rủi ro vượt quá 10.000 USD): khoảng 15 kho bạc
- Loại kho bạc bị ảnh hưởng: chủ yếu là các chiến lược rủi ro cao, sử dụng tài sản thế chấp dài hạn
- Phạm vi không bị ảnh hưởng: các Prime Vaults có rủi ro thấp và tất cả các kho bạc không liên quan đến USR hoặc tài sản liên quan đến Resolv
Đồng sáng lập Morpho, Merlin Egalite, khẳng định rõ: “Hợp đồng của Morpho không có bất kỳ lỗ hổng nào. Chúng an toàn và hoạt động đúng như dự kiến.” Paul Frambot cũng bổ sung rằng các curator phản ứng nhanh với tình hình đầy thử thách này, đội ngũ Morpho đã hỗ trợ khi cần thiết và sẽ tiếp tục hợp tác với các curator để cải thiện các công cụ hiện có.
Các câu hỏi thường gặp
USR Stablecoin của Resolv Labs bị tấn công như thế nào?
Kẻ tấn công không tấn công trực tiếp cơ chế ổn định trung tính Delta của USR, mà lấy được khóa riêng của Resolv Labs trên dịch vụ quản lý khóa của AWS, vượt qua logic của giao thức, lợi dụng lỗ hổng hợp đồng đúc tiền thiếu giới hạn và kiểm tra oracle, đã đúc không giới hạn 80 triệu USR với khoảng 100.000 đến 200.000 USD tài sản thế chấp, rồi dần dần chuyển đổi thành ETH để rút ra khoảng 23 triệu USD.
Mô hình curator của Morpho ảnh hưởng như thế nào đến phạm vi rủi ro lan truyền trong vụ việc này?
Morpho giao quyền quyết định rủi ro cho các curator bên thứ ba, cho phép họ tùy chỉnh các tham số an toàn của quỹ. Trong vụ này, 15 kho bạc bị ảnh hưởng đều là các kho bạc mà curator đã chọn đưa USR vào danh sách tài sản thế chấp có rủi ro cao, còn hợp đồng chính của Morpho không có lỗ hổng, các Prime Vaults có rủi ro thấp và các kho bạc không liên quan đến USR đều không bị ảnh hưởng.
Người dùng Morpho nên làm gì để đối phó với hậu quả của vụ việc Resolv?
Paul Frambot khuyên người dùng nên theo dõi các thông báo mới nhất từ Resolv Labs và các curator liên quan để cập nhật tình hình rủi ro của các kho bạc cụ thể. Nếu đang nắm giữ phần vốn liên quan đến USR hoặc tài sản liên quan đến Resolv, cần theo dõi sát sao các curator có thể điều chỉnh các tham số quản lý rủi ro.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
Bài viết liên quan
Kế hoạch phòng thủ lượng tử của Bitcoin theo BIP-361 vấp chỉ trích vì khoảng trống khôi phục 1,7M BTC
Các nhà phát triển Bitcoin đang làm việc trên BIP-361 để bảo vệ trước các mối đe dọa từ điện toán lượng tử bằng cách chuyển quỹ sang các định dạng an toàn hơn, có khả năng đóng băng 1,7 triệu BTC. Charles Hoskinson chỉ trích kế hoạch này, cho rằng nó có thể dẫn đến việc đóng băng vĩnh viễn các đồng tiền dễ tổn thương. Cuộc tranh luận nêu bật những căng thẳng trong việc thích nghi với các giao thức của Bitcoin.
GateNews29phút trước
Tether rót 150 triệu đô la để cứu Drift Protocol, còn Circle thì bị kiện tập thể vì sơ suất
Drift Protocol phải chịu khoản lỗ $280 triệu đô la do bị hack, khiến Tether khởi động kế hoạch phục hồi trị giá $150 triệu đô la, chuyển tài sản thanh toán sang USDT. Trong khi đó, Circle đang đối mặt với một vụ kiện vì không đóng băng kịp thời các khoản tiền bị đánh cắp, qua đó làm nổi bật sự mơ hồ về quy định trong ngành crypto.
ChainNewsAbmedia57phút trước
Circle Đối mặt Vụ kiện Tập thể Liên quan đến Phản hồi trước Lỗ hổng $280M Drift Protocol
Circle Internet Group đang phải đối mặt với một vụ kiện tập thể do không nhanh chóng dừng một lỗ hổng $280 triệu liên quan đến Giao thức Chuyển tiền Liên chuỗi (Cross-Chain Transfer Protocol) của họ, khi các nhà đầu tư cho rằng công ty có thể đã can thiệp. Vụ kiện làm nổi bật khả năng trước đây của Circle trong việc phong tỏa quỹ, qua đó đặt ra câu hỏi về mức độ phản hồi của họ.
GateNews1giờ trước
Quỹ Ethereum: Chương trình Ketman xác định 100 đặc vụ Triều Tiên trong 6 tháng
Dựa trên báo cáo hồi cứu của chương trình ETH Rangers do Quỹ Ethereum công bố vào ngày 17 tháng 4 năm 2026 (thứ Năm), trong thời gian tài trợ kéo dài 6 tháng, chương trình Ketman được Quỹ Ethereum tài trợ đã xác định 100 nhân viên IT Triều Tiên thâm nhập các tổ chức Web3 bằng danh tính giả, đồng thời liên hệ khoảng 53 dự án mã hóa, cảnh báo rằng có thể họ đã thuê các đặc vụ Triều Tiên đang hoạt động.
MarketWhisper1giờ trước
Sàn giao dịch tiền mã hóa Kyrgyzstan Grinex bị dính $15M Hack, lộ mạng lưới né tránh trừng phạt của Nga
Một cuộc tấn công mạng nhắm vào sàn giao dịch tiền mã hóa Grinex tại Kyrgyzstan đã lộ ra một mạng lưới bị cáo buộc hỗ trợ Nga né lệnh trừng phạt. Tin tặc đã đánh cắp $15 triệu, nhắm vào Grinex và TokenSpot được liên kết. Grinex, được xem như sự tiếp nối của Garantex vốn bị trừng phạt, đang bị soi xét vì đã tạo điều kiện cho các giao dịch liên quan đến các tổ chức chịu trừng phạt.
GateNews2giờ trước
Polymarket Kiểm toán Các Startup trong Chương trình Builders vì Lo ngại Giao dịch Nội gián - Unchained
Polymarket đã khởi xướng một cuộc kiểm toán Chương trình Builders của mình sau khi phát hiện các công cụ bên thứ ba có thể tạo điều kiện cho giao dịch nội gián bằng cách bắt chước các lệnh giao dịch thành công. Việc rà soát diễn ra sau sự soi xét liên quan đến khả năng thao túng thị trường gắn với các ứng dụng này.
UnchainedCrypto3giờ trước
