A Resolv afirmou que os atacantes cunharam 80M de USR e extraíram cerca de $25M em ETH antes dos serviços serem pausados e o acesso revogado.
A Resolv divulgou novos detalhes sobre a violação de segurança de 22 de março de 2026. O protocolo afirmou que os atacantes cunharam 80 milhões de USR através de transações não autorizadas.
Os tokens cunhados foram então trocados por ETH através de exchanges descentralizadas. A Resolv afirmou que o valor total retirado foi de cerca de $25 milhões.
O ataque começou fora dos sistemas centrais da Resolv
A Resolv afirmou que o ataque começou fora da sua infraestrutura direta. Um contratado havia trabalhado anteriormente num projeto separado de terceiros.
Esse projeto foi posteriormente comprometido e uma credencial relacionada do GitHub foi exposta. Os atacantes usaram então essa credencial para aceder a alguns repositórios da Resolv.
Após obterem acesso, os atacantes colocaram um fluxo de trabalho prejudicial dentro do ambiente do repositório.
A Resolv afirmou que o fluxo de trabalho roubou credenciais sem acionar alertas de tráfego de saída.
Os atacantes removeram posteriormente o seu próprio acesso do repositório. Esse passo parece ter reduzido os vestígios após a intrusão inicial.
As credenciais roubadas abriram um caminho para o ambiente de cloud da Resolv. A partir daí, os atacantes analisaram serviços e procuraram mais chaves.
Também tentaram obter acesso a integrações de terceiros. A Resolv descreveu o evento como um ataque multi-fase em vários sistemas.
O acesso de assinatura permitiu a cunhagem de 80M de USR
O objetivo dos atacantes era obter autoridade de assinatura para operações de cunhagem. A Resolv afirmou que as primeiras tentativas foram bloqueadas pelos controlos de acesso existentes.
No entanto, os atacantes continuaram a avançar pelo sistema de cloud. Mais tarde encontraram uma rota através de uma função de infraestrutura de nível superior.
Segundo o relatório, essa função poderia modificar a política de acesso às chaves. Assim que a política foi alterada, os atacantes obtiveram autoridade de assinatura.
Isso deu-lhes a capacidade de completar ações de cunhagem. O contrato inteligente Counter foi então usado para as transações não autorizadas.
A primeira cunhagem ilícita ocorreu às 02:21:35 UTC. A Resolv afirmou que a transação criou 50 milhões de USR.
Os atacantes começaram então a trocar os tokens por ETH em muitas carteiras. Uma segunda cunhagem seguiu-se às 03:41 UTC e criou mais 30 milhões de USR.
A Resolv afirmou que o seu sistema de monitorização detetou a primeira transação incomum em tempo real. A equipa começou então a preparar uma resposta nos sistemas backend e on-chain.
Como a violação envolveu acesso à infraestrutura, a equipa precisava de identificar a rota utilizada. Essa revisão moldou os primeiros passos de contenção.
Leia também:
Recuperação e revisão de segurança da Resolv
A equipa interrompeu os serviços backend antes de pausar os contratos inteligentes. Às 05:16 UTC, a equipa pausou todos os contratos com funções de pausa.
Às 05:30 UTC, a equipa de segurança revogou as credenciais comprometidas em todo o sistema de cloud. A Resolv afirmou que os registos mostraram atividade dos atacantes até às 05:15 UTC.
Após a contenção, o protocolo iniciou ações de recuperação on-chain. A Resolv afirmou que cerca de 46 milhões de USR foram neutralizados.
O protocolo usou queimas diretas e funções de lista negra após o timelock necessário. A investigação sobre o fornecimento restante cunhado ilicitamente ainda está ativa.
A Resolv está a compensar os detentores de USR pré-hack numa base 1:1. A equipa já processou a maioria dos resgates elegíveis, enquanto continua a tratar do resto.
Ao mesmo tempo, a maioria das operações do protocolo permanecem pausadas até novo aviso. A empresa afirmou que está a priorizar a segurança do colateral e o processamento de resgates.
O relatório afirmou que a violação não foi causada por uma fraqueza isolada. Em vez disso, os atacantes encadearam pequenas lacunas entre terceiros e permissões de cloud.
A Resolv planeia agora limites de cunhagem on-chain e verificações de preços oracle. Também planeia sistemas de pausa automatizados e regras de acesso mais rigorosas ao GitHub.
Fonte: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
