Resolv zei dat aanvallers 80 miljoen USR hebben gemint en ongeveer $25 miljoen in ETH hebben onttrokken voordat de diensten werden gepauzeerd en de toegang werd ingetrokken.
Resolv heeft nieuwe details vrijgegeven over de beveiligingsbreuk van 22 maart 2026. Het protocol zei dat aanvallers 80 miljoen USR hebben gemint via ongeautoriseerde transacties.
De gemintte tokens werden vervolgens geruild voor ETH via gedecentraliseerde beurzen. Resolv zei dat de totale waarde die werd ontvreemd ongeveer $25 miljoen was.
Aanval Begon Buiten de Kernsystemen van Resolv
Resolv zei dat de aanval begon buiten haar directe infrastructuur. Een contractant had eerder gewerkt aan een afzonderlijk project van een derde partij.
Dat project werd later gecompromitteerd en een gerelateerde GitHub-inloggegevens werden blootgesteld. De aanvallers gebruikten vervolgens die inloggegevens om toegang te krijgen tot sommige Resolv-repositories.
Na het verkrijgen van toegang plaatsten de aanvallers een schadelijke workflow in de repository-omgeving.
Resolv zei dat de workflow inloggegevens stal zonder uitgaande verkeerswaarschuwingen te activeren.
De aanvallers verwijderden later hun eigen toegang uit de repository. Die stap lijkt de sporen na de initiële inbraak te hebben verminderd.
De gestolen inloggegevens openden een pad naar de cloudomgeving van Resolv. Vandaar bekeken de aanvallers diensten en zochten ze naar meer sleutels.
Ze probeerden ook toegang te krijgen tot integraties van derden. Resolv beschreef de gebeurtenis als een meertrapsaanval over verschillende systemen.
Ondertekeningsbevoegdheid Maakte de 80M USR-Mint Mogelijk
Het doel van de aanvallers was om ondertekeningsbevoegdheid te krijgen voor mintoperaties. Resolv zei dat vroege pogingen werden geblokkeerd door bestaande toegangscontroles.
De aanvallers bleven echter door het cloudsysteem bewegen. Ze vonden later een route via een infrastructuurrol op hoger niveau.
Volgens het rapport kon die rol het sleuteltoegangsbeleid wijzigen. Zodra het beleid was gewijzigd, kregen de aanvallers ondertekeningsbevoegdheid.
Dat gaf hen de mogelijkheid om mintacties te voltooien. Het Counter-contract werd vervolgens gebruikt voor de ongeautoriseerde transacties.
De eerste illegale mint vond plaats om 02:21:35 UTC. Resolv zei dat de transactie 50 miljoen USR creëerde.
De aanvallers begonnen vervolgens de tokens te ruilen voor ETH via vele wallets. Een tweede mint volgde om 03:41 UTC en creëerde nog eens 30 miljoen USR.
Resolv zei dat haar monitoringsysteem de eerste ongebruikelijke transactie in realtime detecteerde. Het team begon vervolgens een reactie voor te bereiden voor backend- en on-chain systemen.
Omdat de breuk infrastructuurtoegang betrof, moest het team de gebruikte route identificeren. Die beoordeling vormde de eerste inperkingsstappen.
Lees Ook:
Resolv Herstel en Beveiligingsbeoordeling
Het team stopte backend-diensten voordat de smart contracts werden gepauzeerd. Om 05:16 UTC pauzeerde het team alle contracten met pauzeerfuncties.
Om 05:30 UTC trok het beveiligingsteam de gecompromitteerde inloggegevens in over het cloudsysteem. Resolv zei dat logboeken aanvallersactiviteit toonden tot 05:15 UTC.
Na inperking begon het protocol met on-chain herstelacties. Resolv zei dat ongeveer 46 miljoen USR is geneutraliseerd.
Het protocol gebruikte directe burns en zwarte lijstfuncties na de vereiste timelock. Het onderzoek naar de resterende illegaal gemintte voorraad is nog steeds actief.
Resolv compenseert pre-hack USR-houders op een 1:1-basis. Het team heeft al de meeste in aanmerking komende terugbetalingen verwerkt, terwijl het doorgaat met het afhandelen van de rest.
Tegelijkertijd blijven de meeste protocoloperaties gepauzeerd tot nader order. Het bedrijf zei dat het prioriteit geeft aan onderpandveiligheid en terugbetalingsverwerking.
Het rapport zei dat de breuk niet werd veroorzaakt door één geïsoleerde zwakte. In plaats daarvan koppelden de aanvallers kleinere hiaten aan elkaar bij derden en cloudmachtigingen.
Resolv plant nu on-chain mintlimieten en oracle-prijscontroles. Het plant ook geautomatiseerde pauzeersystemen en strengere GitHub-toegangsregels.
Bron: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
