Resolv a declarat că atacatorii au emis 80M USR și au extras aproximativ 25 milioane USD în ETH înainte ca serviciile să fie suspendate și accesul revocat.
Resolv a publicat noi detalii despre breșa de securitate din 22 martie 2026. Protocolul a declarat că atacatorii au emis 80 de milioane USR prin tranzacții neautorizate.
Token-urile emise au fost apoi schimbate în ETH prin exchange-uri descentralizate. Resolv a declarat că valoarea totală sustrasă a fost de aproximativ 25 de milioane USD.
Atacul a început în afara sistemelor centrale Resolv
Resolv a declarat că atacul a început în afara infrastructurii sale directe. Un contractant lucrase anterior la un proiect terț separat.
Acel proiect a fost ulterior compromis și o acreditare GitHub asociată a fost expusă. Atacatorii au folosit apoi acea acreditare pentru a intra în unele depozite Resolv.
După obținerea accesului, atacatorii au plasat un flux de lucru dăunător în mediul depozitului.
Resolv a declarat că fluxul de lucru a furat acreditările fără a declanșa alerte de trafic de ieșire.
Atacatorii și-au eliminat ulterior propriul acces din depozit. Acel pas pare să fi redus urmele după intruziunea inițială.
Acreditările furate au deschis o cale către mediul cloud al Resolv. De acolo, atacatorii au verificat serviciile și au căutat mai multe chei.
Au încercat, de asemenea, să obțină acces la integrări terțe. Resolv a descris evenimentul ca un atac în mai multe etape pe mai multe sisteme.
Accesul de semnare a permis emiterea a 80M USR
Scopul atacatorilor era să obțină autoritatea de semnare pentru operațiunile de emitere. Resolv a declarat că tentativele timpurii au fost blocate de controalele de acces existente.
Cu toate acestea, atacatorii au continuat să se deplaseze prin sistemul cloud. Ulterior au găsit o rută printr-un rol de infrastructură de nivel superior.
Conform raportului, acel rol putea modifica politica de acces la chei. Odată ce politica s-a schimbat, atacatorii au obținut autoritatea de semnare.
Acest lucru le-a dat capacitatea de a finaliza acțiunile de emitere. Contractul Counter a fost apoi folosit pentru tranzacțiile neautorizate.
Prima emitere ilicită a avut loc la 02:21:35 UTC. Resolv a declarat că tranzacția a creat 50 de milioane USR.
Atacatorii au început apoi să schimbe token-urile în ETH pe multe portofele. A doua emitere a urmat la 03:41 UTC și a creat încă 30 de milioane USR.
Resolv a declarat că sistemul său de monitorizare a detectat prima tranzacție neobișnuită în timp real. Echipa a început apoi să pregătească un răspuns pe sistemele backend și on-chain.
Deoarece breșa implica accesul la infrastructură, echipa trebuia să identifice ruta folosită. Acea verificare a configurat primii pași de izolare.
Citește și:
Recuperarea și revizuirea securității Resolv
Echipa a oprit serviciile backend înainte de suspendarea contractelor inteligente. La 05:16 UTC, echipa a suspendat toate contractele cu funcții de pauză.
La 05:30 UTC, echipa de securitate a revocat acreditările compromise pe sistemul cloud. Resolv a declarat că jurnalele au arătat activitatea atacatorilor până la 05:15 UTC.
După izolare, protocolul a început acțiuni de recuperare on-chain. Resolv a declarat că aproximativ 46 de milioane USR au fost neutralizate.
Protocolul a folosit arderi directe și funcții de blacklist după timelock-ul necesar. Investigația privind oferta rămasă emisă ilicit este încă activă.
Resolv compensează deținătorii de USR anteriori hack-ului pe bază de 1:1. Echipa a procesat deja majoritatea răscumpărărilor eligibile, în timp ce continuă să gestioneze restul.
În același timp, majoritatea operațiunilor protocolului rămân suspendate până la o nouă notificare. Compania a declarat că prioritizează siguranța colateralului și procesarea răscumpărărilor.
Raportul a declarat că breșa nu a fost cauzată de o singură slăbiciune izolată. În schimb, atacatorii au înlănțuit goluri mai mici pe terți și permisiuni cloud.
Resolv plănuiește acum limite de emitere on-chain și verificări ale prețurilor oracle. De asemenea, plănuiește sisteme automate de pauză și reguli mai stricte de acces la GitHub.
Sursa: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
