Resolvの秘密鍵が2,300万ドル分盗まれるも、Morphoはメインプロトコルの安全性を確認

分散型金融（DeFi）プロトコルのResolv Labsは日曜日に、攻撃者がプロジェクトの秘密鍵を取得し、段階的にイーサリアムに交換して約2,300万ドルを巻き上げたことを公表しました。Morphoプロトコルの被害範囲に関する外部の懸念に対し、共同創設者のPaul Frambotは、約500の預金規模の金庫のうち、関連市場に大きなエクスポージャー（1万ドル超）を持つのはわずか15個であると明らかにしました。

Resolv Labsの脆弱性解析：秘密鍵盗難による攻撃経路

今回の攻撃の核心的な脆弱性は、Resolv Labsのデルタニュートラル安定コインメカニズムそのものではなく、インフラ層における秘密鍵管理の失敗にあります。Chainalysisのオンチェーンレポートによると、攻撃者はAWS上のResolvの鍵管理サービスにアクセスし、協定のロジックを回避し、また、オラクル（預言者）検査や最大発行量制限の欠如しているスマートコントラクトを悪用し、低コストで大規模な過剰発行を実現しました。

攻撃の流れは以下の通りです：8千万USリザーブ（USR）を発行 → ステーキング版に交換 → USDCに交換 → ETHを購入し出金、最終的に約2,300万ドル相当のETH資産を失う結果となり、USRトークンの保有者は直ちに価値崩壊の衝撃を受けました。Resolv Labsはその後、損失拡大を防ぐために緊急で発行と交換の機能を停止しました。

Morphoの連鎖反応：キュレーター（策展人）モデルにおけるリスク伝播

Morphoプロトコルは、キュレーター（Curator）モデルを採用しており、第三者の管理機関が貸借資金プールの安全パラメータやトークンリストをカスタマイズできる仕組みです。問題が発生した場合、そのリスクはキュレーターの資金プールが負担し、Morpho本体のプロトコルには責任が及びません。

今回の事件では、USRエクスポージャーに関与したキュレーターには、Gauntlet、Re7 Labs、kpk、9summitsが含まれます。Chaos Labsの創設者Omer Goldbergは、一部のキュレーターの自動流動性提供サービスが、脆弱性発生後数時間も継続して関連金庫に流動性を供給し、損失を拡大させたと指摘しています。

Morphoの影響状況に関する重要なデータ

• 総金庫数：約500個
• 影響を受けた金庫（エクスポージャー1万ドル超）：約15個
• 影響を受けた金庫のタイプ：主にハイリスク戦略型で、ロングテール担保資産を採用
• 影響を受けていない範囲：低リスクのPrime VaultsおよびUSRやResolv関連資産に関与しないすべての金庫

共同創設者のMerlin Egaliteは、「Morphoのコントラクトには一切の脆弱性は存在しません。安全であり、正常に動作しています」と明言しています。Paul Frambotも、「キュレーターはこの困難な状況に迅速に対応し、必要に応じて支援を行い、今後もツールの改善に協力していきます」と付け加えました。

よくある質問

Resolv LabsのUSRステーブルコインはどのように攻撃されたのか？

攻撃者はUSRのデルタニュートラル安定メカニズムを直接攻撃したのではなく、Resolv LabsのAWS鍵管理サービスの秘密鍵を入手し、協定のロジックを回避しました。具体的には、発行上限やオラクル検査の欠如を悪用し、約10万～20万ドルの担保で8千万USRを無制限に発行、その後段階的にETHに交換し、約2,300万ドル相当を引き出しました。

Morphoのキュレーター（策展人）モデルは今回のリスク伝播範囲にどのように影響したのか？

Morphoはリスクの意思決定を第三者のキュレーターに委ねており、キュレーターは資金プールの安全パラメータを設定できます。今回被害を受けた15の金庫は、USRを担保に含める高リスクの金庫としてキュレーターが選択したものであり、Morphoのコアプロトコル自体に脆弱性はなく、低リスクのPrime VaultsやUSR・Resolvに関与しない金庫は影響を受けていません。

MorphoのユーザーはResolv事件の今後の影響にどう対応すればよいか？

Paul Frambotは、ユーザーに対しResolv Labsや関連キュレーターの最新のアナウンスを継続的に確認し、特定の金庫のリスクエクスポージャーの動向を把握するよう勧めています。USRやResolv関連資産を含む金庫のシェアを保有している場合は、キュレーターがリスク管理パラメータを調整しているかどうかを注意深く追跡してください。