- Злоумышленники использовали учетные данные для получения доступа к подписи, создав 80 млн USR и быстро извлекши $25 млн в ETH.
- Утечка затронула GitHub, облачные системы и ключи API, раскрыв несколько слабых мест в инфраструктуре.
- Resolv отозвал доступ, сжёг токены и начал восстановление, пока продолжаются расследование и обновление системы.
Скоординированная атака поразила инфраструктуру Resolv 22 марта 2026 года, что привело к чеканке 80 миллионов USR и изъятию $25 млн в ETH. Взлом включал несанкционированный доступ к системам подписи и происходил на нескольких уровнях. Команда позже подтвердила локализацию инцидента, отзыв учетных данных и частичное восстановление, пока продолжаются расследования.
Цепочка атак использовала уязвимости инфраструктуры
Согласно Resolv, злоумышленники сначала получили доступ через скомпрометированный сторонний проект, связанный с аккаунтом подрядчика. Эта первоначальная уязвимость раскрыла учетные данные GitHub, что позволило получить доступ к внутренним репозиториям.
Однако средства защиты производства заблокировали прямое развертывание кода, заставив нападающих изменить тактику. Вместо этого они развернули вредоносный рабочий процесс для тайного извлечения конфиденциальных учетных данных.
Затем злоумышленники перешли в облачные системы, где картировали инфраструктуру и нацелились на ключи API. В конечном итоге они повысили свои привилегии, изменив политики доступа, связанные с ключом подписи. Этот шаг предоставил им право утверждать операции по чеканке.
Неавторизованное чеканка вызвала быстрое преобразование активов
После обеспечения контроля над подписью злоумышленники выполнили первую транзакцию в 02:21 UTC, создав 50 миллионов USR. Вскоре после этого они начали обменивать токены на ETH с использованием нескольких кошельков и децентрализованных бирж.
В 03:41 UTC вторая транзакция создала еще 30 миллионов USR. Всего атакующие конвертировали активы в течение примерно 80 минут, извлекая около $25 миллионов.
Заметно, что системы мониторинга зафиксировали необычную активность на ранней стадии. Это предупреждение инициировало реакцию, включающую остановку бэкенд-сервисов и подготовку к приостановке контрактов.
Принимаются меры по сдерживанию и восстановлению
Resolv подтвердила, что отозвала скомпрометированные учетные данные к 05:30 UTC, отрезав доступ злоумышленника. Кроме того, команда приостановила соответствующие смарт-контракты и отключила затронутую инфраструктуру.
После изоляции инцидента протокол нейтрализовал примерно 46 миллионов USR с помощью сжигания токенов и контроля черных списков. В это время держатели USR до хака получают полную компенсацию, и большинство выплат уже обработаны.
В расследовании приняли участие внешние компании, включая Hypernative, Hexens, MixBytes и SEAL 911. Дальнейшие проверки включают Mandiant и ZeroShadow, сосредоточенные на безопасности инфраструктуры и отслеживании средств.
Resolv заявила, что операции остаются приостановленными, поскольку анализ и обновление системы продолжаются.