Resolv повідомив, що зловмисники виготовили 80 млн USR і вилучили близько 25 млн доларів в ETH до того, як сервіси були призупинені, а доступ скасовано.
Resolv оприлюднив нові подробиці про порушення безпеки 22 березня 2026 року. Протокол повідомив, що зловмисники виготовили 80 мільйонів USR через несанкціоновані транзакції.
Виготовлені токени були потім обміняні на ETH через децентралізовані біржі. Resolv повідомив, що загальна вартість викраденого становила близько 25 мільйонів доларів.
Атака розпочалася поза основними системами Resolv
Resolv повідомив, що атака розпочалася поза його прямою інфраструктурою. Підрядник раніше працював над окремим стороннім проєктом.
Цей проєкт пізніше був скомпрометований, і відповідні облікові дані GitHub були викриті. Зловмисники потім використали ці облікові дані для входу в деякі репозиторії Resolv.
Після отримання доступу зловмисники розмістили шкідливий робочий процес всередині середовища репозиторію.
Resolv повідомив, що робочий процес викрав облікові дані без спрацювання сповіщень про вихідний трафік.
Зловмисники пізніше видалили власний доступ з репозиторію. Цей крок, схоже, зменшив сліди після початкового вторгнення.
Викрадені облікові дані відкрили шлях до хмарного середовища Resolv. Звідти зловмисники переглянули сервіси та шукали додаткові ключі.
Вони також намагалися отримати доступ до сторонніх інтеграцій. Resolv описав подію як багатоетапну атаку на кілька систем.
Доступ до підпису дозволив виготовити 80 млн USR
Метою зловмисників було отримати повноваження на підпис для операцій майнінгу. Resolv повідомив, що ранні спроби були заблоковані існуючим контролем доступу.
Проте зловмисники продовжували рухатися через хмарну систему. Пізніше вони знайшли шлях через роль інфраструктури вищого рівня.
Згідно зі звітом, ця роль могла змінювати політику доступу до ключів. Після зміни політики зловмисники отримали повноваження на підпис.
Це дало їм можливість завершити дії з майнінгу. Смартконтракт Counter потім був використаний для несанкціонованих транзакцій.
Перший незаконний майнінг відбувся о 02:21:35 UTC. Resolv повідомив, що транзакція створила 50 мільйонів USR.
Зловмисники потім почали обмінювати токени на ETH через багато гаманців. Другий майнінг відбувся о 03:41 UTC і створив ще 30 мільйонів USR.
Resolv повідомив, що його система моніторингу виявила першу незвичайну транзакцію в режимі реального часу. Команда потім почала готувати відповідь у бекенд та он-чейн системах.
Оскільки порушення стосувалося доступу до інфраструктури, команді потрібно було визначити використаний маршрут. Цей огляд визначив перші кроки стримування.
Читайте також:
Відновлення Resolv та огляд безпеки
Команда зупинила бекенд-сервіси перед призупиненням смартконтрактів. О 05:16 UTC команда призупинила всі контракти з функціями паузи.
О 05:30 UTC команда безпеки скасувала скомпрометовані облікові дані в хмарній системі. Resolv повідомив, що журнали показували активність зловмисників ще о 05:15 UTC.
Після стримування протокол розпочав дії з відновлення он-чейн. Resolv повідомив, що близько 46 мільйонів USR було нейтралізовано.
Протокол використав прямі спалювання та функції чорного списку після необхідної затримки. Розслідування щодо решти незаконно виготовленої пропозиції все ще триває.
Resolv компенсує власникам USR до злому на основі 1:1. Команда вже обробила більшість прийнятних викупів, продовжуючи обробляти решту.
Водночас більшість операцій протоколу залишаються призупиненими до подальшого повідомлення. Компанія заявила, що надає пріоритет безпеці застави та обробці викупу.
У звіті зазначено, що порушення не було спричинене однією ізольованою слабкістю. Натомість зловмисники поєднали менші прогалини між третіми сторонами та хмарними дозволами.
Resolv тепер планує обмеження он-чейн майнінгу та перевірки цін оракулів. Компанія також планує автоматизовані системи паузи та суворіші правила доступу до GitHub.
Джерело: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
