قالت Resolv إن المهاجمين أصدروا 80 مليون USR واستخرجوا حوالي 25 مليون دولار من ETH قبل إيقاف الخدمات وإلغاء الوصول.
أصدرت Resolv تفاصيل جديدة حول خرق الأمان الذي حدث في 22 مارس 2026. قال البروتوكول إن المهاجمين أصدروا 80 مليون USR من خلال معاملات غير مصرح بها.
تم بعد ذلك تبديل الرموز المُصدرة إلى ETH من خلال البورصات اللامركزية. قالت Resolv إن القيمة الإجمالية المأخوذة كانت حوالي 25 مليون دولار.
بدأ الهجوم خارج الأنظمة الأساسية لـ Resolv
قالت Resolv إن الهجوم بدأ خارج بنيتها التحتية المباشرة. كان أحد المتعاقدين قد عمل سابقاً على مشروع منفصل تابع لطرف ثالث.
تم اختراق هذا المشروع لاحقاً، وتم الكشف عن بيانات اعتماد GitHub ذات صلة. استخدم المهاجمون بعد ذلك بيانات الاعتماد هذه للدخول إلى بعض مستودعات Resolv.
بعد الحصول على الوصول، وضع المهاجمون سير عمل ضار داخل بيئة المستودع.
قالت Resolv إن سير العمل سرق بيانات الاعتماد دون تفعيل تنبيهات حركة المرور الصادرة.
أزال المهاجمون لاحقاً وصولهم الخاص من المستودع. يبدو أن هذه الخطوة قد قللت من الآثار بعد الاختراق الأولي.
فتحت بيانات الاعتماد المسروقة مساراً إلى البيئة السحابية لـ Resolv. من هناك، راجع المهاجمون الخدمات وبحثوا عن المزيد من المفاتيح.
حاولوا أيضاً الحصول على وصول إلى تكاملات الطرف الثالث. وصفت Resolv الحدث بأنه هجوم متعدد المراحل عبر عدة أنظمة.
الوصول للتوقيع مكّن من إصدار 80 مليون USR
كان هدف المهاجمين هو الحصول على صلاحية التوقيع لعمليات الإصدار. قالت Resolv إن المحاولات المبكرة تم حظرها بواسطة ضوابط الوصول الحالية.
ومع ذلك، استمر المهاجمون في التحرك عبر النظام السحابي. وجدوا لاحقاً طريقاً من خلال دور بنية تحتية على مستوى أعلى.
وفقاً للتقرير، كان بإمكان هذا الدور تعديل سياسة الوصول الرئيسية. بمجرد تغيير السياسة، حصل المهاجمون على صلاحية التوقيع.
أعطاهم ذلك القدرة على إكمال إجراءات الإصدار. تم استخدام عقد Counter بعد ذلك للمعاملات غير المصرح بها.
حدث الإصدار غير المشروع الأول في الساعة 02:21:35 بتوقيت UTC. قالت Resolv إن المعاملة أنشأت 50 مليون USR.
بدأ المهاجمون بعد ذلك في تبديل الرموز إلى ETH عبر العديد من المحافظ. تلا ذلك إصدار ثانٍ في الساعة 03:41 بتوقيت UTC وأنشأ 30 مليون USR أخرى.
قالت Resolv إن نظام المراقبة الخاص بها اكتشف المعاملة غير العادية الأولى في الوقت الفعلي. بدأ الفريق بعد ذلك في إعداد استجابة عبر الأنظمة الخلفية والأنظمة على السلسلة.
نظراً لأن الخرق تضمن الوصول إلى البنية التحتية، احتاج الفريق إلى تحديد المسار المستخدم. شكلت هذه المراجعة خطوات الاحتواء الأولى.
اقرأ أيضاً:
التعافي والمراجعة الأمنية لـ Resolv
أوقف الفريق الخدمات الخلفية قبل إيقاف العقود الذكية. في الساعة 05:16 بتوقيت UTC، أوقف الفريق جميع العقود ذات وظائف الإيقاف.
في الساعة 05:30 بتوقيت UTC، ألغى فريق الأمان بيانات الاعتماد المخترقة عبر النظام السحابي. قالت Resolv إن السجلات أظهرت نشاط المهاجمين حتى الساعة 05:15 بتوقيت UTC.
بعد الاحتواء، بدأ البروتوكول إجراءات التعافي على السلسلة. قالت Resolv إنه تم تحييد حوالي 46 مليون USR.
استخدم البروتوكول عمليات الحرق المباشر ووظائف القائمة السوداء بعد قفل الوقت المطلوب. التحقيق في المعروض المتبقي المُصدر بشكل غير مشروع لا يزال نشطاً.
تقوم Resolv بتعويض حاملي USR قبل الاختراق على أساس 1:1. عالج الفريق بالفعل معظم عمليات الاسترداد المؤهلة، بينما يستمر في معالجة الباقي.
في الوقت نفسه، تظل معظم عمليات البروتوكول متوقفة حتى إشعار آخر. قالت الشركة إنها تعطي الأولوية لسلامة الضمانات ومعالجة الاسترداد.
قال التقرير إن الخرق لم يكن ناتجاً عن نقطة ضعف واحدة معزولة. بدلاً من ذلك، ربط المهاجمون فجوات أصغر عبر أطراف ثالثة وأذونات سحابية.
تخطط Resolv الآن لسقوف إصدار على السلسلة وفحوصات أسعار أوراكل. كما تخطط لأنظمة إيقاف تلقائية وقواعد وصول أكثر صرامة لـ GitHub.
المصدر: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
