- 攻撃者は認証情報を悪用して署名アクセスを獲得し、80M USRを発行して2500万ドル分のETHを迅速に引き出しました。
- この侵害はGitHub、クラウドシステム、およびAPIキーを含み、複数のインフラストラクチャの脆弱性を露呈しました。
- Resolvはアクセスを取り消し、トークンを燃やして回復を開始しました。調査とシステムのアップグレードは継続中です。
2026年3月22日、協調された攻撃がResolvのインフラを襲い、8,000万USRの発行と2,500万ドル分のETHが不正に引き出されました。この侵害は、署名システムへの不正アクセスが複数のレイヤーにわたって発生しました。チームは後日、対応の完了、資格情報の無効化、部分的な回復を確認しましたが、調査は継続中です。
攻撃チェーンがインフラの脆弱性を悪用
Resolvによると、攻撃者は契約者アカウントに関連する第三者プロジェクトが侵害されたことにより最初にアクセスを獲得しました。この初期の侵入により、GitHubの資格情報が漏洩し、内部リポジトリへのアクセスが可能になりました。
しかし、生産環境のセーフガードが直接的なコードのデプロイをブロックしたため、攻撃者は戦術を変更せざるを得ませんでした。代わりに、彼らは機密な認証情報を静かに抽出するための悪意のあるワークフローをデプロイしました。
次に、攻撃者はクラウドシステムに移動し、インフラをマッピングしてAPIキーを標的にしました。最終的に、署名キーに関連付けられたアクセスポリシーを変更することで権限を昇格させ、このステップにより、ミント操作を承認する権限を得ました。
不正なミントが高速資産変換を引き起こしました
署名管理が侵害された後、攻撃者はUTC 02:21に最初のトランザクションを実行し、5,000万USRをミントしました。その後、複数のウォレットと分散型取引所を使用して、トークンをETHに交換し始めました。
UTC 03:41に、2回目のトランザクションによりさらに3,000万USRが発行されました。合計で、攻撃者は約80分間にわたり資産を換金し、約2,500万ドルを抜き取りました。
注目すべきことに、監視システムは早期に異常な活動を検出しました。このアラートにより、バックエンドサービスの停止と契約の一時停止の準備が開始されました。
収束対策および回復活動を実施中
Resolvは、05:30 UTCまでに侵害された認証情報を無効にし、攻撃者のアクセスを遮断したことを確認しました。さらに、チームは関連するスマートコントラクトを一時停止し、shut downされたインフラストラクチャーを停止しました。
収束後、プロトコルはトークンバーンとブラックリスト制御により約4600万USRを中和しました。一方、ハッキング前のUSR保有者には完全な補償が行われており、ほとんどの償還が既に処理されています。
Hypernative、Hexens、MixBytes、SEAL 911などの外部企業が調査に参加しました。さらに、MandiantとZeroShadowがインフラセキュリティと資金追跡に焦点を当ててレビューを実施します。
Resolvは、フォレンジック分析とシステムのアップグレードが継続されているため、運用は引き続き一時停止されていると述べました。