- Les attaquants ont exploité des identifiants pour obtenir un accès à la signature, créant 80M USR et extrayant rapidement 25 M $ en ETH.
- La violation a impliqué GitHub, les systèmes cloud et les clés API, révélant plusieurs faiblesses de l'infrastructure.
- Resolv a révoqué l'accès, brûlé les jetons et a commencé la récupération, tandis que les enquêtes et les mises à niveau du système se poursuivent.
Une attaque coordonnée a frappé l’infrastructure de Resolv le 22 mars 2026, entraînant la création de 80 millions d’USR et un retrait de 25 millions de dollars en ETH. La violation a impliqué un accès non autorisé aux systèmes de signature et s’est déroulée sur plusieurs niveaux. L’équipe a ultérieurement confirmé la containment, la révocation des identifiants et une récupération partielle, tandis que les enquêtes se poursuivent.
La chaîne d'attaques a exploité des faiblesses d'infrastructure
Selon Resolv, les attaquants ont d'abord obtenu l'accès en compromettant un projet tiers lié à un compte de prestataire. Cette faille initiale a exposé les identifiants GitHub, permettant l'accès aux dépôts internes.
Cependant, les mesures de sécurité de production ont bloqué le déploiement direct du code, obligeant les attaquants à changer de tactique. Ils ont plutôt déployé un flux de travail malveillant pour extraire silencieusement des identifiants sensibles.
Ensuite, les attaquants ont pénétré dans les systèmes cloud, où ils ont cartographié l'infrastructure et ciblé les clés API. Finalement, ils ont escaladé leurs privilèges en modifiant les politiques d'accès liées à une clé de signature. Cette étape leur a accordé l'autorité d'approuver les opérations de création de jetons.
Minting non autorisé déclenché la conversion rapide d'actifs
Avec le contrôle de la signature sécurisé, les attaquants ont exécuté la première transaction à 02:21 UTC, en créant 50 millions de USR. Peu après, ils ont commencé à échanger des jetons contre de l'ETH en utilisant plusieurs wallets et des échanges décentralisés.
À 03:41 UTC, une deuxième transaction a émis 30 millions supplémentaires d'USR. Au total, les attaquants ont converti des actifs sur environ 80 minutes, extrayant environ 25 millions de dollars.
Notamment, les systèmes de surveillance ont détecté une activité anormale dès le début. Cette alerte a déclenché une réponse incluant l'arrêt des services backend et la préparation de pauses de contrat.
Mesures de containment et efforts de rétablissement en cours
Resolv a confirmé avoir révoqué les identifiants compromis avant 05:30 UTC, coupant ainsi l'accès de l'attaquant. De plus, l'équipe a mis en pause les contrats intelligents concernés et shut down l'infrastructure affectée.
Après containment, le protocole a neutralisé environ 46 millions d'USR grâce à des brûlures de jetons et des contrôles de liste noire. Entre-temps, les détenteurs d'USR avant le piratage reçoivent une compensation intégrale, la plupart des remboursements ayant déjà été traités.
Des entreprises externes, notamment Hypernative, Hexens, MixBytes et SEAL 911, ont rejoint l'enquête. Des examens supplémentaires impliquent Mandiant et ZeroShadow, axés sur la sécurité de l'infrastructure et le suivi des fonds.
Resolv a déclaré que les opérations restent suspendues tandis que l'analyse judiciaire et les mises à niveau du système se poursuivent.