Resolv teatas, et ründajad mintisid 80 miljonit USR-i ja võtsid välja umbes 25 miljonit USA dollarit väärtuses ETH-i, enne kui teenused peatati ja juurdepääs tühistati.
Resolv on avaldanud uusi üksikasju 22. märtsi 2026. aasta turvapuuduse kohta. Protokoll teatas, et ründajad mintisid volitamata tehingutega 80 miljonit USR-i.
Mintitud tokenid vahetati seejärel ümber ETH-iks desentraliseeritud börsidel. Resolv teatas, et varastatud summa oli kokku umbes 25 miljonit USA dollarit.
Rünnak algas Resolvi tuumasisust väljaspool
Resolv teatas, et rünnak algas tema otsese infrastruktuuri väljaspool. Üks lepinguallikas oli varem töötanud eraldi kolmanda osapoole projektis.
See projekt kompromitteeriti hiljem ja seotud GitHub-i autentimisteave avalikustati. Ründajad kasutasid seda autentimisteavet, et siseneda mõndesse Resolvi reposse.
Pärast juurdepääsu saamist paigutasid ründajad kahjuliku töövoogu reposse.
Resolv teatas, et töövoog varastas autentimisteave ilma väljaminevate liikluste hoiatuste põhjustamata.
Ründajad eemaldasid hiljem oma enda juurdepääsu reposse. See samm tundub vähenenud jälgi esialgse sissetungiga pärast.
Varastatud autentimisteave avas tee Resolvi pilvakeskkonda. Sealt lähtudes uurisid ründajad teenuseid ja otsisid lisaklucce.
Nad püüdsid ka saada juurdepääsu kolmandate osapoolte integratsioonidele. Resolv kirjeldas seda sündmust kui mitmestadiumset rünnakut mitmes süsteemis.
Allkirjastusõigus võimaldas 80 miljoni USR-i mintimise
Ründajate eesmärk oli saada allkirjastusõigus mintimistegevustele. Resolv teatas, et varasemad katsetused blokeeriti olemasolevate juurdepääsukontrollidega.
Siiski jätkasid ründajad liikumist pilvakeskkonnas edasi. Hiljem leidsid nad teed kõrgema taseme infrastruktuuri rolli kaudu.
Arapärase aruande kohaselt sai see roll muuta võtmete juurdepääsupoliitikat. Kui poliitika muudeti, said ründajad allkirjastusõiguse.
See andis neile võimaluse täita mintimistegevusi. Ebaseaduslikud tehingud toimusid Counter kontrakti kaudu.
Esimene ebaseaduslik mintimine toimus 02:21:35 UTC ajal. Resolv teatas, et see tehing loodi 50 miljonit USR-i.
Ründajad alustasid seejärel tokenite vahetamist ETH-iks paljude portfellide kaudu. Teine mintimine toimus 03:41 UTC ajal ja loodi veel 30 miljonit USR-i.
Resolvi jälgimissüsteem tuvastas esimese ebatavalise tehingu reaalajas. Meeskond alustas siis vastumeetmete valmistamist tagaoses ja ahela sees olevates süsteemides.
Kuna rünnak hõlmas infrastruktuuri juurdepääsu, pidas meeskond kindlaks tegema kasutatud tee. Selle ülevaade kujundas esimesed piirangumeetmed.
Loe ka:
Resolvi taastumine ja turvalisusuuring
Meeskond peatas tagaoses olevad teenused enne nutikate lepingute peatamist. 05:16 UTC ajal peatas meeskond kõik pausafunktsioonidega lepingud.
05:30 UTC ajal tühistas turvameeskond kompromitteeritud autentimisteabe kogu pilvikeskkonnas. Resolv teatas, et logid näitasid ründajate tegevust viimaseks 05:15 UTC ajal.
Piirangute rakendamise järel alustas protokoll ahela sees toimuvaid taastumistegevusi. Resolv teatas, et umbes 46 miljonit USR-i on neutraliseeritud.
Protokoll kasutas otsest põletamist ja musta nimekirja funktsioone pärast nõutud ajapiirangu möödumist. Uurimine järelejäänud ebaseaduslikult mintitud pakkumise kohta on endiselt käimas.
Resolv kompenseerib enne rünnakut olnud USR-omanikke 1:1 suhtes. Meeskond on juba töödeldud enamiku õiguspäraseid tagasivõtmisi, samas kui ülejäänute töötlemine jätkub.
Samal ajal on enamikku protokolli tegevustest peatatud seni, kuni teisiti ei teatata. Ettevõte ütleb, et prioriteediks on tagatisvara turvalisus ja tagasivõtmiste töötlemine.
Arapärase aruande kohaselt ei põhjustanud rünnakut üksainus eraldatud nõrk koht. Pigem kombineerisid ründajad kokku väiksemad lüngad kolmandate osapoolte ja pilve õiguste vahel.
Resolv plaanib nüüd ahela sees kehtestada mintimise ülempiiri ja oracle hinna kontrollid. Lisaks plaanib ettevõte automaatseid pausasüsteeme ja rangemaid GitHub-i juurdepääsueeskirju.
Source: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
