- 攻擊者利用憑證獲取簽署權限,鑄造了 80M USR,並迅速提取了 25M ETH。
- 此次洩漏涉及 GitHub、雲端系統和 API 密鑰,暴露出多項基礎設施弱點。
- 已撤銷存取權限、焚毀代幣,並開始恢復,同時持續進行調查與系統升級。
2026 年 3 月 22 日,一場有協調的 攻擊 袭擊了 Resolv 的基礎設施,導致發行了 8,000 萬 USR 並提取了 2,500 萬美元的 ETH。此次入侵涉及對簽名系統的未授權訪問,並在多個層面展開。團隊事後確認已控制住情況、撤銷憑證並部分恢復,調查仍在進行中。
攻擊鏈利用了基礎設施弱點
根據 Resolv 的說法,攻擊者首先透過與承包商帳戶相關的受損第三方專案取得存取權限。此初始入侵暴露了 GitHub 的憑證,使攻擊者得以進入內部儲存庫。
然而,生產環境的安全防護阻止了直接代碼部署,迫使攻擊者改變策略,改為部署惡意工作流程以靜默提取敏感憑證。
接著,攻擊者進入雲端系統,繪製基礎架構並針對 API 密鑰。最終,他們透過修改與簽署密鑰相關的存取政策來提升權限。這一步使他們獲得批准鑄造操作的權力。
未經授權的鑄造觸發了快速資產轉換
在簽名控制被攻破後,攻擊者於 02:21 UTC 執行了第一筆交易,鑄造了 50 百萬 USR。隨後,他們開始使用多個錢包和去中心化交易所,將代幣兌換為 ETH。
在 03:41 UTC,第二筆交易鑄造了另外 3,000 萬 USR。總計,攻擊者在約 80 分鐘內轉換資產,提取了約 2,500 萬美元。
值得注意的是,監控系統早在早期就標記了異常活動。此警報啟動了包括停止後端服務和準備合約暫停在內的應對措施。
正在進行控制措施與恢復工作
Resolv 確認已於 05:30 UTC 撤銷被盜憑證,切斷攻擊者存取權限。此外,團隊已暫停相關智能合約並關閉受影響的基礎設施。
在控制住事件後,該協議透過代幣焚毀和黑名單控制,中和了約 46 百萬 USR。同時,遭駭前的 USR 持有者正獲得全額賠償,大部分賠償已處理完畢。
外部公司,包括 Hypernative、Hexens、MixBytes 和 SEAL 911,已參與調查。進一步審查將由 Mandiant 和 ZeroShadow 進行,重點關注基礎設施安全與資金追蹤。
Resolv 表示,由於法證分析和系統升級仍在進行中,運營仍處於暫停狀態。