- Зловмисники використали дані для входу, щоб отримати доступ до підпису, випустивши 80 млн USR та швидко вивівши $25 млн у ETH.
- Порушення стосувалося GitHub, хмарних систем і ключів API, що виявило кілька слабких місць у інфраструктурі.
- Resolv відкликав доступ, спалив токени та розпочав відновлення, тоді як розслідування та оновлення системи тривають.
Скоординована атака вдарилася по інфраструктурі Resolv 22 березня 2026 року, що призвело до створення 80 мільйонів USR та виведення $25 мільйонів у ETH. Порушення включало неавторизований доступ до систем підпису та розгорнулося на кількох рівнях. Команда пізніше підтвердила локалізацію, відкликання облікових даних та часткове відновлення, поки тривають розслідування.
Ланцюжок атак використав слабкості інфраструктури
Згідно з Resolv, нападники спочатку отримали доступ через скомпрометований сторонній проект, пов’язаний з акаунтом контрактора. Ця початкова порушення призвела до витоку облікових даних GitHub, що дозволило отримати доступ до внутрішніх репозиторіїв.
Однак заходи безпеки виробництва заборонили прямий розгортання коду, змусивши нападників змінити тактику. Вони розгорнули шкідливий робочий процес для тихого вилучення конфіденційних облікових даних.
Потім нападники перейшли до хмарних систем, де вони відобразили інфраструктуру та націлилися на ключі API. У кінцевому підсумку вони підвищили привілеї, змінивши політики доступу, пов’язані з ключем підпису. Цей крок надав їм повноваження затверджувати операції з випуску.
Несанкціоноване створення монет спричинило швидке перетворення активів
Зі збереженою контролем підпису, нападники виконали першу транзакцію о 02:21 UTC, випустивши 50 мільйонів USR. Незабаром після цього вони почали обмінювати токени на ETH, використовуючи кілька гаманців та децентралізовані біржі.
О 03:41 UTC друга транзакція випустила ще 30 мільйонів USR. Загалом нападники перетворили активи протягом приблизно 80 хвилин, вивівши близько $25 мільйонів.
Варто зазначити, що системи моніторингу виявили незвичайну активність на ранніх етапах. Це сповіщення запустило відповідь, яка включала призупинення бекенд-сервісів та підготовку до призупинення контрактів.
Проводяться заходи зі вміщення та відновлення
Resolv підтвердив, що відкликав скомпрометовані облікові дані до 05:30 UTC, відключивши доступ зловмисника. Крім того, команда призупинила відповідні смартконтракти та зупинила постраждалу інфраструктуру.
Після виявлення інциденту протокол нейтралізував приблизно 46 мільйонів USR за допомогою знищення токенів та контролю чорних списків. Тим часом власники USR до хакерської атаки отримують повну компенсацію, більшість викупів вже оброблено.
Зовнішні компанії, зокрема Hypernative, Hexens, MixBytes та SEAL 911, приєдналися до розслідування. Додаткові перевірки проводять Mandiant та ZeroShadow, зосереджуючись на безпеці інфраструктури та відстеженні коштів.
Resolv зазначив, що операції залишаються призупиненими, оскільки тривають криміналістичний аналіз та оновлення системи.