Как было быстро отчеканено 80 млн USR

Resolv заявила, что злоумышленники выпустили 80 млн USR и вывели около 25 млн $ в ETH до того, как сервисы были приостановлены, а доступ отозван.

Resolv опубликовала новые подробности об инциденте безопасности 22 марта 2026 года. Протокол сообщил, что злоумышленники выпустили 80 миллионов USR через несанкционированные транзакции.

Выпущенные токены затем были обменены на ETH через децентрализованные биржи. Resolv сообщила, что общая стоимость похищенного составила около 25 миллионов $.

Атака началась за пределами основных систем Resolv

Resolv заявила, что атака началась за пределами её прямой инфраструктуры. Подрядчик ранее работал над отдельным сторонним проектом.

Этот проект позже был скомпрометирован, и связанные учетные данные GitHub были раскрыты. Злоумышленники затем использовали эти данные для входа в некоторые репозитории Resolv.

Получив доступ, злоумышленники разместили вредоносный рабочий процесс внутри среды репозитория.

Resolv сообщила, что рабочий процесс похитил учетные данные без активации оповещений об исходящем трафике. 

Злоумышленники позже удалили свой собственный доступ из репозитория. Этот шаг, по-видимому, уменьшил следы после первоначального вторжения.

Украденные учетные данные открыли путь в облачную среду Resolv. Оттуда злоумышленники проверили сервисы и искали дополнительные ключи.

Они также пытались получить доступ к сторонним интеграциям. Resolv охарактеризовала событие как многоэтапную атаку на несколько систем.

Доступ к подписи позволил выпустить 80 млн USR

Целью злоумышленников было получение полномочий на подпись для операций майнинга. Resolv сообщила, что ранние попытки были заблокированы существующими средствами контроля доступа.

Однако злоумышленники продолжили перемещение по облачной системе. Позже они нашли путь через роль инфраструктуры более высокого уровня.

Согласно отчету, эта роль могла изменять политику доступа к ключам. После изменения политики злоумышленники получили полномочия на подпись.

Это дало им возможность завершить операции майнинга. Контракт Counter затем был использован для несанкционированных транзакций.

Первый незаконный выпуск произошел в 02:21:35 UTC. Resolv сообщила, что транзакция создала 50 миллионов USR.

Затем злоумышленники начали обменивать токены на ETH через множество кошельков. Второй выпуск последовал в 03:41 UTC и создал еще 30 миллионов USR.

Resolv сообщила, что её система мониторинга обнаружила первую необычную транзакцию в режиме реального времени. Затем команда начала подготовку ответных мер на уровне бэкенда и ончейн-систем.

Поскольку нарушение касалось доступа к инфраструктуре, команде нужно было определить использованный маршрут. Этот анализ сформировал первые шаги по сдерживанию.

Читайте также:

Восстановление Resolv и проверка безопасности

Команда остановила бэкенд-сервисы перед приостановкой смарт-контрактов. В 05:16 UTC команда приостановила все контракты с функциями паузы.

В 05:30 UTC команда безопасности отозвала скомпрометированные учетные данные во всей облачной системе. Resolv сообщила, что журналы показали активность злоумышленников до 05:15 UTC.

После сдерживания протокол начал действия по восстановлению в блокчейне. Resolv сообщила, что около 46 миллионов USR было нейтрализовано.

Протокол использовал прямое сжигание и функции черного списка после необходимого таймлока. Расследование оставшегося незаконно выпущенного предложения все еще продолжается.

Resolv компенсирует держателям USR до взлома на основе 1:1. Команда уже обработала большинство подходящих выкупов, продолжая обрабатывать остальные.

В то же время большинство операций протокола остаются приостановленными до дальнейшего уведомления. Компания заявила, что приоритетом является безопасность залога и обработка выкупов.

В отчете говорится, что нарушение не было вызвано одной изолированной слабостью. Вместо этого злоумышленники объединили меньшие пробелы в сторонних сервисах и облачных разрешениях.

Resolv теперь планирует ончейн-ограничения на выпуск и проверки цен оракула. Она также планирует автоматизированные системы паузы и более строгие правила доступа к GitHub.