- Los atacantes explotaron credenciales para obtener acceso de firma, acuñando 80M USR y extrayendo $25M en ETH rápidamente.
- La brecha involucró GitHub, sistemas en la nube y claves de API, exponiendo múltiples debilidades en la infraestructura.
- Resolv revocó el acceso, quemó tokens y comenzó la recuperación, mientras continúan las investigaciones y las actualizaciones del sistema.
Un ataque coordinado attack afectó la infraestructura de Resolv el 22 de marzo de 2026, provocando la acuñación de 80 millones de USR y una extracción de $25 millones en ETH. La brecha implicó acceso no autorizado a sistemas de firma y se desarrolló en múltiples capas. El equipo confirmó posteriormente el control, la revocación de credenciales y la recuperación parcial mientras continúan las investigaciones.
La cadena de ataques explotó debilidades en la infraestructura
Según Resolv, los atacantes primero obtuvieron acceso a través de un proyecto de terceros comprometido vinculado a una cuenta de contratista. Esta brecha inicial expuso credenciales de GitHub, lo que permitió el acceso a repositorios internos.
Sin embargo, las medidas de seguridad de producción bloquearon la implementación directa del código, obligando a los atacantes a cambiar de táctica. En su lugar, implementaron un flujo de trabajo malicioso para extraer credenciales sensibles en silencio.
Luego, los atacantes pasaron a los sistemas en la nube, donde mapearon la infraestructura y objetivo claves de API. Finalmente, elevaron sus privilegios modificando las políticas de acceso vinculadas a una clave de firma. Este paso les otorgó autoridad para aprobar operaciones de acuñación.
Acuñación no autorizada activó la conversión rápida de activos
Con el control de firma asegurado, los atacantes ejecutaron la primera transacción a las 02:21 UTC, acuñando 50 millones de USR. Poco después, comenzaron a intercambiar tokens por ETH utilizando múltiples monederos e exchanges descentralizados.
A las 03:41 UTC, una segunda transacción acuñó otros 30 millones de USR. En total, los atacantes convirtieron activos durante aproximadamente 80 minutos, extrayendo alrededor de $25 millones.
Notablemente, los sistemas de monitoreo detectaron actividad inusual desde el principio. Esta alerta inició una respuesta que incluyó la suspensión de los servicios de backend y la preparación de pausas de contrato.
Acciones de contención y esfuerzos de recuperación en curso
Resolv confirmó que revocó las credenciales comprometidas antes de las 05:30 UTC, cortando el acceso del atacante. Además, el equipo pausó los contratos inteligentes relevantes y shut down la infraestructura afectada.
Tras la contención, el protocolo neutralizó aproximadamente 46 millones de USR mediante quemas de tokens y controles de lista negra. Mientras tanto, los titulares de USR previos al hack están recibiendo compensación completa, y la mayoría de los canjes ya han sido procesados.
Empresas externas, incluyendo Hypernative, Hexens, MixBytes y SEAL 911, se unieron a la investigación. Revisiones adicionales involucran a Mandiant y ZeroShadow, enfocándose en la seguridad de la infraestructura y el rastreo de fondos.
Resolv indicó que las operaciones permanecen suspendidas mientras continúan el análisis forense y las actualizaciones del sistema.