Resolv gab an, dass Angreifer 80 Millionen USR geminted und etwa 25 Millionen USD in ETH extrahiert haben, bevor die Dienste pausiert und der Zugriff widerrufen wurde.
Resolv hat neue Details über den Sicherheitsvorfall vom 22.03.2026 veröffentlicht. Das Protokoll gab an, dass Angreifer 80 Millionen USR durch nicht autorisierte Transaktionen geminted haben.
Die geminteten Token wurden dann über dezentrale Börsen in ETH getauscht. Resolv gab an, dass der Gesamtwert der entwendeten Mittel etwa 25 Millionen USD betrug.
Angriff begann außerhalb von Resolvs Kernsystemen
Resolv gab an, dass der Angriff außerhalb seiner direkten Infrastruktur begann. Ein Auftragnehmer hatte zuvor an einem separaten Drittanbieterprojekt gearbeitet.
Dieses Projekt wurde später kompromittiert und eine zugehörige GitHub-Anmeldeinformation wurde offengelegt. Die Angreifer nutzten dann diese Anmeldeinformation, um auf einige Resolv-Repositories zuzugreifen.
Nach Erlangung des Zugriffs platzierten die Angreifer einen schädlichen Workflow in der Repository-Umgebung.
Resolv gab an, dass der Workflow Anmeldeinformationen gestohlen hat, ohne ausgehende Verkehrswarnungen auszulösen.
Die Angreifer entfernten später ihren eigenen Zugriff vom Repository. Dieser Schritt scheint nach dem ersten Eindringen Spuren reduziert zu haben.
Die gestohlenen Anmeldeinformationen öffneten einen Weg in Resolvs Cloud-Umgebung. Von dort aus überprüften die Angreifer Dienste und suchten nach weiteren Schlüsseln.
Sie versuchten auch, Zugriff auf Drittanbieter-Integrationen zu erhalten. Resolv beschrieb das Ereignis als mehrstufigen Angriff über mehrere Systeme hinweg.
Signierzugriff ermöglichte das 80M USR Minting
Das Ziel der Angreifer war es, Signierberechtigung für Minting-Operationen zu erlangen. Resolv gab an, dass frühe Versuche durch bestehende Zugriffskontrollen blockiert wurden.
Die Angreifer bewegten sich jedoch weiter durch das Cloud-System. Sie fanden später einen Weg über eine höherrangige Infrastrukturrolle.
Laut dem Bericht konnte diese Rolle die Schlüsselzugriffsrichtlinie ändern. Sobald die Richtlinie geändert wurde, erlangten die Angreifer Signierberechtigung.
Das gab ihnen die Möglichkeit, Minting-Aktionen abzuschließen. Der Counter-Smart-Contract wurde dann für die nicht autorisierten Transaktionen verwendet.
Das erste illegale Minting fand um 02:21:35 UTC statt. Resolv gab an, dass die Transaktion 50 Millionen USR erzeugte.
Die Angreifer begannen dann, die Token über viele Wallets in ETH zu tauschen. Ein zweites Minting folgte um 03:41 UTC und erzeugte weitere 30 Millionen USR.
Resolv gab an, dass sein Überwachungssystem die erste ungewöhnliche Transaktion in Echtzeit erkannt hat. Das Team begann dann, eine Reaktion über Backend- und On-Chain-Systeme vorzubereiten.
Da der Vorfall Infrastrukturzugriff beinhaltete, musste das Team den verwendeten Weg identifizieren. Diese Überprüfung bestimmte die ersten Eindämmungsschritte.
Lesen Sie auch:
Resolv Wiederherstellung und Sicherheitsüberprüfung
Das Team stoppte Backend-Dienste, bevor es die Smart-Contracts pausierte. Um 05:16 UTC pausierte das Team alle Verträge mit Pausenfunktionen.
Um 05:30 UTC widerrief das Sicherheitsteam die kompromittierten Anmeldeinformationen im gesamten Cloud-System. Resolv gab an, dass Protokolle Angreiferaktivität bis 05:15 UTC zeigten.
Nach der Eindämmung begann das Protokoll mit On-Chain-Wiederherstellungsmaßnahmen. Resolv gab an, dass etwa 46 Millionen USR neutralisiert wurden.
Das Protokoll nutzte direkte Burns und Blacklist-Funktionen nach der erforderlichen Timelock. Die Untersuchung des verbleibenden illegal geminteten Angebots ist noch aktiv.
Resolv entschädigt USR-Inhaber von vor dem Hack auf 1:1-Basis. Das Team hat bereits die meisten berechtigten Rückzahlungen bearbeitet, während es den Rest weiter bearbeitet.
Gleichzeitig bleiben die meisten Protokolloperationen bis auf Weiteres pausiert. Das Unternehmen gab an, dass es die Sicherheit der Sicherheiten und die Bearbeitung von Rückzahlungen priorisiert.
Der Bericht besagte, dass der Vorfall nicht durch eine einzelne isolierte Schwachstelle verursacht wurde. Stattdessen verketteten die Angreifer kleinere Lücken über Drittanbieter und Cloud-Berechtigungen hinweg.
Resolv plant nun On-Chain-Mint-Caps und Oracle-Preisprüfungen. Es plant auch automatisierte Pausensysteme und strengere GitHub-Zugriffsregeln.
Quelle: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
