- Ang mga attacker ay nag-exploit ng mga credentials upang makakuha ng pag-access sa pag-sign, na nag-mint ng 80M USR at nag-extract ng $25M sa ETH nang mabilis.
- Ang paglabas ay naglalaman ng GitHub, cloud systems, at API keys, na nagpapakita ng maraming kahinaan sa infrastraktura.
- Ibinawi ni Resolv ang pag-access, pinagburn ang mga token, at nagsimula na sa pagpapalit, habang patuloy ang mga imbestigasyon at pagpapabuti ng sistema.
Isinagawa ang isang koordinadong atake sa infrastruktura ng Resolv noong Marso 22, 2026, na nagresulta sa pagmimint ng 80 milyong USR at isang pagbawas ng $25 milyon sa ETH. Ang paglabas ay nagsasangkot ng hindi awtorisadong pag-access sa mga sistema ng pag-sign at nangyari sa maraming antas. Kumpirmado ng koponan ang pagkontrol, pag-revoke ng mga kredensyal, at bahagyang pagbabalik habang patuloy ang mga imbestigasyon.
Nag-exploit ang Attack Chain ng mga kahinaan sa infrastruktura
Ayon sa Resolv, unang nakuha ng mga attacker ang access sa pamamagitan ng isang napapahamak na third-party project na may kinalaman sa isang contractor account. Ang unang paglabas na ito ay nag-expose ng GitHub credentials, na nagbigay-daan sa pagpasok sa mga internal repository.
Gayunpaman, tinigil ng mga pagsisiguro sa produksyon ang direkta pag-deploy ng code, na nagpakialam sa mga attacker na baguhin ang kanilang taktika. Sa halip, ipinadala nila ang isang masasamang workflow upang makakuha nang tahimik ng mga sensitibong kredensyal.
Sunod, lumipat ang mga attacker sa cloud systems, kung saan nila inilarawan ang infrastructure at tinarget ang API keys. Sa huli, nila inaangat ang mga pribilehiyo sa pamamagitan ng pagbabago ng mga patakaran sa pag-access na kaugnay ng signing key. Nagbigay ito sa kanila ng awtoridad upang pahintulutan ang mga minting operations.
Nag-trigger ang di-awtorisadong pagmimint ng Fast Asset Conversion
Matapos ma-secure ang pagpapahintulot sa pag-sign, nag-execute ang mga attacker ang unang transaksyon sa 02:21 UTC, na nag-mint ng 50 milyon USR. Agad pagkatapos, nagsimula silang palitan ang mga token sa ETH gamit ang maraming wallet at decentralized exchanges.
Sa 03:41 UTC, isang pangalawang transaksyon ay nagmint ng karagdagang 30 milyon USR. Sa kabuuan, nilipat ng mga attacker ang mga ari-arian sa loob ng halos 80 minuto, at inalis ang halos $25 milyon.
Napansin ng mga sistema sa pagmamasid ang hindi karaniwang gawain sa maagang yugto. Nagmula rito ang isang tugon na kasama ang paghinto sa mga backend service at paghahanda para sa pagpapahinga ng mga kontrata.
Nagpapatupad ng mga aksyon sa pagkontrol at mga pagkilos para sa pagbabalik
Kumpirmado ng Resolv na irevok nila ang mga napapahintulot na kredensyal bago ang 05:30 UTC, upang putulin ang pag-access ng attacker. Dagdag pa rito, ipinagpahinga ng team ang mga kaugnay na smart contract at shut down ang nasirang infrastructure.
Pagkatapos ng pagkontrol, neutralisado ng protokolo ang halos 46 milyong USR sa pamamagitan ng token burns at mga kontrol sa blacklist. Samantala, natatanggap ng mga holder ng USR bago ang hack ang buong kompensasyon, na karamihan sa pagpapalit ay naka-proseso na.
Ang mga panlabas na kumpanya, kabilang ang Hypernative, Hexens, MixBytes, at SEAL 911, ay sumali sa imbestigasyon. Ang karagdagang pagsusuri ay kasama ang Mandiant at ZeroShadow, na nakatuon sa seguridad ng imprastruktura at pagtatakas ng mga pondo.
Sinabi ni Resolv na patuloy pa ang pagpapahinga ng mga operasyon habang patuloy ang forensic analysis at pag-upgrade ng sistema.