Resolv a déclaré que les attaquants ont frappé 80M USR et extrait environ 25M $ en ETH avant que les services ne soient suspendus et l'accès révoqué.
Resolv a publié de nouveaux détails concernant la violation de sécurité du 22 mars 2026. Le protocole a déclaré que les attaquants ont frappé 80 millions d'USR via des transactions non autorisées.
Les jetons frappés ont ensuite été échangés contre de l'ETH via des échanges décentralisés. Resolv a déclaré que la valeur totale prélevée était d'environ 25 millions de dollars.
L'attaque a commencé en dehors des systèmes principaux de Resolv
Resolv a déclaré que l'attaque a commencé en dehors de son infrastructure directe. Un contractant avait précédemment travaillé sur un projet tiers séparé.
Ce projet a ensuite été compromis et un identifiant GitHub associé a été exposé. Les attaquants ont alors utilisé cet identifiant pour accéder à certains dépôts de Resolv.
Après avoir obtenu l'accès, les attaquants ont placé un flux de travail malveillant dans l'environnement du dépôt.
Resolv a déclaré que le flux de travail a volé des identifiants sans déclencher d'alertes de trafic sortant.
Les attaquants ont ensuite supprimé leur propre accès au dépôt. Cette étape semble avoir réduit les traces après l'intrusion initiale.
Les identifiants volés ont ouvert un chemin vers l'environnement cloud de Resolv. De là, les attaquants ont examiné les services et recherché d'autres clés.
Ils ont également tenté d'obtenir l'accès aux intégrations tierces. Resolv a décrit l'événement comme une attaque en plusieurs étapes à travers plusieurs systèmes.
L'accès à la signature a permis la frappe de 80M USR
L'objectif des attaquants était d'obtenir l'autorité de signature pour les opérations de frappe. Resolv a déclaré que les premières tentatives ont été bloquées par les contrôles d'accès existants.
Cependant, les attaquants ont continué à se déplacer dans le système cloud. Ils ont ensuite trouvé une route via un rôle d'infrastructure de niveau supérieur.
Selon le rapport, ce rôle pouvait modifier la politique d'accès aux clés. Une fois la politique modifiée, les attaquants ont obtenu l'autorité de signature.
Cela leur a donné la capacité de compléter les actions de frappe. Le contrat Counter a ensuite été utilisé pour les transactions non autorisées.
La première frappe illicite a eu lieu à 02h21:35 UTC. Resolv a déclaré que la transaction a créé 50 millions d'USR.
Les attaquants ont ensuite commencé à échanger les jetons contre de l'ETH à travers de nombreux portefeuilles. Une deuxième frappe a suivi à 03h41 UTC et a créé 30 millions d'USR supplémentaires.
Resolv a déclaré que son système de surveillance a détecté la première transaction inhabituelle en temps réel. L'équipe a alors commencé à préparer une réponse sur les systèmes backend et on-chain.
Parce que la violation impliquait l'accès à l'infrastructure, l'équipe devait identifier la route utilisée. Cet examen a façonné les premières étapes de confinement.
Lire aussi :
Récupération et examen de sécurité de Resolv
L'équipe a arrêté les services backend avant de suspendre les smart contracts. À 05h16 UTC, l'équipe a mis en pause tous les contrats avec des fonctions de pause.
À 05h30 UTC, l'équipe de sécurité a révoqué les identifiants compromis dans tout le système cloud. Resolv a déclaré que les journaux montraient une activité des attaquants jusqu'à 05h15 UTC.
Après le confinement, le protocole a commencé des actions de récupération on-chain. Resolv a déclaré qu'environ 46 millions d'USR ont été neutralisés.
Le protocole a utilisé des destructions directes et des fonctions de liste noire après le timelock requis. L'enquête sur l'offre restante frappée illicitement est toujours en cours.
Resolv compense les détenteurs d'USR d'avant le piratage sur une base de 1:1. L'équipe a déjà traité la plupart des rachats éligibles, tout en continuant à gérer le reste.
Dans le même temps, la plupart des opérations du protocole restent suspendues jusqu'à nouvel ordre. L'entreprise a déclaré qu'elle donnait la priorité à la sécurité des garanties et au traitement des rachats.
Le rapport indique que la violation n'a pas été causée par une faiblesse isolée. Au lieu de cela, les attaquants ont enchaîné des lacunes plus petites à travers des tiers et des autorisations cloud.
Resolv prévoit désormais des plafonds de frappe on-chain et des vérifications de prix oracle. Il prévoit également des systèmes de pause automatisés et des règles d'accès GitHub plus strictes.
Source : https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
