Resolv poinformował, że atakujący wyemitowali 80 mln USR i wydobyli około 25 mln USD w ETH, zanim usługi zostały wstrzymane, a dostęp został odwołany.
Resolv opublikował nowe szczegóły dotyczące naruszenia bezpieczeństwa z 22 marca 2026 r. Protokół poinformował, że atakujący wyemitowali 80 milionów USR poprzez nieautoryzowane transakcje.
Wyemitowane tokeny zostały następnie zamienione na ETH za pośrednictwem zdecentralizowanych giełd. Resolv poinformował, że łączna wartość skradziona wyniosła około 25 milionów USD.
Atak rozpoczął się poza podstawowymi systemami Resolv
Resolv poinformował, że atak rozpoczął się poza jego bezpośrednią infrastrukturą. Wykonawca wcześniej pracował nad oddzielnym projektem zewnętrznym.
Projekt ten został później naruszony, a powiązane dane uwierzytelniające GitHub zostały ujawnione. Atakujący następnie wykorzystali te dane, aby uzyskać dostęp do niektórych repozytoriów Resolv.
Po uzyskaniu dostępu atakujący umieścili szkodliwy przepływ pracy w środowisku repozytorium.
Resolv poinformował, że przepływ pracy wykradł dane uwierzytelniające bez wyzwalania alertów ruchu wychodzącego.
Atakujący później usunęli swój własny dostęp z repozytorium. Ten krok wydaje się zmniejszyć ślady po początkowym włamaniu.
Skradzione dane uwierzytelniające otworzyły drogę do środowiska chmurowego Resolv. Stamtąd atakujący przejrzeli usługi i szukali kolejnych kluczy.
Próbowali również uzyskać dostęp do integracji z podmiotami trzecimi. Resolv opisał zdarzenie jako wieloetapowy atak na kilka systemów.
Dostęp do podpisywania umożliwił emisję 80 mln USR
Celem atakujących było uzyskanie uprawnień do podpisywania operacji emisji. Resolv poinformował, że wczesne próby zostały zablokowane przez istniejące kontrole dostępu.
Jednak atakujący kontynuowali poruszanie się po systemie chmurowym. Później znaleźli drogę przez rolę infrastruktury wyższego poziomu.
Według raportu rola ta mogła modyfikować politykę dostępu do klucza. Po zmianie polityki atakujący uzyskali uprawnienia do podpisywania.
To dało im możliwość wykonania akcji emisji. Kontrakt Counter został następnie wykorzystany do nieautoryzowanych transakcji.
Pierwsza nielegalna emisja miała miejsce o 02:21:35 UTC. Resolv poinformował, że transakcja utworzyła 50 milionów USR.
Atakujący następnie rozpoczęli wymianę tokenów na ETH w wielu portfelach. Druga emisja nastąpiła o 03:41 UTC i utworzyła kolejne 30 milionów USR.
Resolv poinformował, że jego system monitorowania wykrył pierwszą nietypową transakcję w czasie rzeczywistym. Zespół następnie rozpoczął przygotowywanie odpowiedzi w systemach backendowych i on-chain.
Ponieważ naruszenie dotyczyło dostępu do infrastruktury, zespół musiał zidentyfikować wykorzystaną drogę. Ten przegląd ukształtował pierwsze kroki zawierające.
Przeczytaj również:
Odzyskiwanie Resolv i przegląd bezpieczeństwa
Zespół zatrzymał usługi backendowe przed wstrzymaniem inteligentnych kontraktów. O 05:16 UTC zespół wstrzymał wszystkie kontrakty z funkcjami pauzy.
O 05:30 UTC zespół bezpieczeństwa odwołał skompromitowane dane uwierzytelniające w całym systemie chmurowym. Resolv poinformował, że dzienniki pokazały aktywność atakującego nawet o 05:15 UTC.
Po zabezpieczeniu protokół rozpoczął działania odzyskiwania on-chain. Resolv poinformował, że około 46 milionów USR zostało zneutralizowanych.
Protokół wykorzystał bezpośrednie spalenia i funkcje czarnej listy po wymaganym timelocku. Dochodzenie dotyczące pozostałej nielegalnie wyemitowanej podaży jest nadal aktywne.
Resolv kompensuje posiadaczom USR sprzed włamania na zasadzie 1:1. Zespół już przetworzył większość kwalifikujących się umorzeń, podczas gdy kontynuuje obsługę pozostałych.
Jednocześnie większość operacji protokołu pozostaje wstrzymana do odwołania. Firma stwierdziła, że priorytetowo traktuje bezpieczeństwo zabezpieczeń i przetwarzanie umorzeń.
Raport stwierdził, że naruszenie nie zostało spowodowane przez jedną izolowaną słabość. Zamiast tego atakujący połączyli mniejsze luki w podmiotach trzecich i uprawnieniach chmurowych.
Resolv planuje teraz limity emisji on-chain i kontrole cen wyroczni. Planuje również zautomatyzowane systemy wstrzymywania i bardziej rygorystyczne zasady dostępu do GitHub.
Źródło: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
