Resolv 表示攻击者铸造了 8000 万 USR,并在服务暂停和访问权限被撤销之前提取了约 2500 万美元的 ETH。
Resolv 发布了关于 2026 年 3 月 22 日安全漏洞的新细节。该协议表示攻击者通过未经授权的交易铸造了 8000 万 USR。
铸造的代币随后通过去中心化交易所兑换成 ETH。Resolv 表示被盗取的总价值约为 2500 万美元。
攻击始于 Resolv 核心系统之外
Resolv 表示攻击始于其直接基础设施之外。一名承包商此前曾在一个独立的第三方项目上工作。
该项目后来遭到入侵,相关的 GitHub 凭证被泄露。攻击者随后使用该凭证进入了一些 Resolv 存储库。
获得访问权限后,攻击者在存储库环境中植入了一个恶意工作流程。
Resolv 表示该工作流程在未触发出站流量警报的情况下窃取了凭证。
攻击者随后从存储库中删除了自己的访问权限。这一步骤似乎减少了初次入侵后的痕迹。
被盗的凭证为进入 Resolv 的云环境打开了一条路径。从那里,攻击者审查了服务并搜索更多密钥。
他们还试图获取第三方集成的访问权限。Resolv 将该事件描述为跨越多个系统的多阶段攻击。
签名访问权限促成了 8000 万 USR 的铸造
攻击者的目标是获得铸造操作的签名授权。Resolv 表示早期的尝试被现有的访问控制阻止。
然而,攻击者继续在云系统中移动。他们后来通过一个更高级别的基础设施角色找到了路径。
根据报告,该角色可以修改密钥访问策略。一旦策略改变,攻击者就获得了签名授权。
这使他们能够完成铸造操作。Counter 合约随后被用于未经授权的交易。
第一次非法铸造发生在 02:21:35 UTC。Resolv 表示该交易创建了 5000 万 USR。
攻击者随后开始通过多个钱包将代币兑换成 ETH。第二次铸造在 03:41 UTC 进行,又创建了 3000 万 USR。
Resolv 表示其监控系统实时检测到了第一笔异常交易。团队随后开始在后端和链上系统中准备应对措施。
由于漏洞涉及基础设施访问,团队需要识别所使用的路径。该审查决定了第一批遏制措施。
另请阅读:
Resolv 恢复与安全审查
团队在暂停智能合约之前停止了后端服务。在 05:16 UTC,团队暂停了所有具有暂停功能的合约。
在 05:30 UTC,安全团队在整个云系统中撤销了受损的凭证。Resolv 表示日志显示攻击者的活动最晚持续到 05:15 UTC。
在遏制之后,协议开始了链上恢复行动。Resolv 表示约 4600 万 USR 已被清除。
该协议在所需的时间锁定后使用了直接销毁和黑名单功能。对剩余非法铸造供应的调查仍在进行中。
Resolv 正在按 1:1 的比例补偿黑客攻击前的 USR 持有者。团队已经处理了大部分符合条件的赎回,同时继续处理其余部分。
与此同时,大多数协议操作在另行通知之前仍然暂停。该公司表示正在优先考虑抵押品安全和赎回处理。
报告称,此次漏洞并非由单一孤立的弱点造成。相反,攻击者将第三方和云权限中的较小漏洞串联在一起。
Resolv 现在计划实施链上铸造上限和预言机价格检查。它还计划自动暂停系统和更严格的 GitHub 访问规则。
来源:https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
