- Các kẻ tấn công đã khai thác thông tin đăng nhập để giành quyền ký, tạo ra 80M USR và rút nhanh $25M ETH.
- Vi phạm liên quan đến GitHub, các hệ thống đám mây và khóa API, phơi bày nhiều điểm yếu trong cơ sở hạ tầng.
- Resolv đã thu hồi quyền truy cập, đốt token và bắt đầu quá trình khôi phục, trong khi các cuộc điều tra và nâng cấp hệ thống vẫn đang tiếp diễn.
Một cuộc phá hoại có phối hợp đã tấn công cơ sở hạ tầng của Resolv vào ngày 22 tháng 3 năm 2026, dẫn đến việc phát hành 80 triệu USR và rút ra 25 triệu USD giá trị ETH. Sự vi phạm liên quan đến việc truy cập trái phép vào các hệ thống ký và diễn ra qua nhiều lớp. Đội ngũ sau đó đã xác nhận việc kiểm soát sự cố, thu hồi thông tin xác thực và phục hồi một phần, trong khi các cuộc điều tra vẫn đang tiếp diễn.
Chuỗi tấn công khai thác điểm yếu hạ tầng
Theo Resolv, các kẻ tấn công đã tiếp cận ban đầu thông qua một dự án bên thứ ba bị xâm phạm liên quan đến tài khoản nhà thầu. Lỗ hổng ban đầu này đã làm lộ thông tin đăng nhập GitHub, cho phép truy cập vào các kho nội bộ.
Tuy nhiên, các biện pháp bảo vệ sản xuất đã ngăn chặn việc triển khai mã trực tiếp, buộc kẻ tấn công phải thay đổi chiến thuật. Thay vào đó, chúng đã triển khai một quy trình làm việc độc hại để trích xuất thông tin xác thực nhạy cảm một cách lặng lẽ.
Tiếp theo, những kẻ tấn công đã chuyển sang các hệ thống đám mây, nơi chúng lập bản đồ cơ sở hạ tầng và nhắm vào các khóa API. Cuối cùng, chúng đã tăng quyền truy cập bằng cách sửa đổi các chính sách truy cập liên quan đến khóa ký. Bước này cấp cho chúng quyền phê duyệt các hoạt động đúc tiền.
Việc tạo tài sản không được ủy quyền đã kích hoạt chuyển đổi tài sản nhanh
Sau khi kiểm soát chữ ký được bảo mật, kẻ tấn công đã thực hiện giao dịch đầu tiên lúc 02:21 UTC, tạo ra 50 triệu USR. Ngay sau đó, chúng bắt đầu hoán đổi các token thành ETH bằng nhiều ví và sàn giao dịch phi tập trung.
Vào lúc 03:41 UTC, một giao dịch thứ hai đã tạo ra thêm 30 triệu USR. Tổng cộng, những kẻ tấn công đã chuyển đổi tài sản trong khoảng 80 phút, rút đi khoảng 25 triệu USD.
Đáng chú ý, các hệ thống giám sát đã phát hiện hoạt động bất thường ngay từ sớm. Cảnh báo này đã kích hoạt phản ứng bao gồm dừng các dịch vụ backend và chuẩn bị tạm dừng hợp đồng.
Các hành động kiểm soát và nỗ lực phục hồi đang được tiến hành
Resolv xác nhận đã thu hồi các thông tin đăng nhập bị xâm phạm vào lúc 05:30 UTC, cắt đứt quyền truy cập của kẻ tấn công. Ngoài ra, nhóm đã tạm dừng các hợp đồng thông minh liên quan và shut down cơ sở hạ tầng bị ảnh hưởng.
Sau khi kiểm soát, giao thức đã vô hiệu hóa khoảng 46 triệu USR thông qua việc đốt token và các biện pháp kiểm soát danh sách đen. Trong khi đó, các chủ sở hữu USR trước khi bị tấn công đang nhận bồi thường đầy đủ, với phần lớn các khoản hoàn trả đã được xử lý.
Các công ty bên ngoài, bao gồm Hypernative, Hexens, MixBytes và SEAL 911, đã tham gia vào cuộc điều tra. Các cuộc rà soát thêm liên quan đến Mandiant và ZeroShadow, tập trung vào bảo mật hạ tầng và truy vết quỹ.
Resolv cho biết các hoạt động vẫn bị tạm dừng trong khi phân tích điều tra và nâng cấp hệ thống đang tiếp tục.