Resolvは、攻撃者が8000万USRを作成し、サービスが停止されアクセスが取り消される前に約2500万ドル相当のETHを引き出したと述べた。
Resolvは2026年3月22日のセキュリティ侵害について新たな詳細を公開した。プロトコルによると、攻撃者は不正な取引を通じて8000万USRを作成した。
作成されたトークンは、分散型取引所を通じてETHに交換された。Resolvによると、奪われた総額は約2500万ドルだった。
攻撃はResolvのコアシステム外から始まった
Resolvによると、攻撃は直接のインフラストラクチャの外で始まった。契約者は以前、別のサードパーティプロジェクトで作業していた。
そのプロジェクトは後に侵害され、関連するGitHub認証情報が流出した。攻撃者はその認証情報を使用して、一部のResolvリポジトリに侵入した。
アクセスを取得した後、攻撃者はリポジトリ環境内に有害なワークフローを配置した。
Resolvによると、このワークフローはアウトバウンドトラフィックアラートをトリガーすることなく認証情報を盗んだ。
攻撃者は後にリポジトリから自身のアクセスを削除した。このステップは、最初の侵入後の痕跡を減らすために行われたようだ。
盗まれた認証情報により、Resolvのクラウド環境への道が開かれた。そこから攻撃者はサービスを調査し、さらなる鍵を探した。
彼らはサードパーティ統合へのアクセスも取得しようとした。Resolvはこの事象を複数のシステムにまたがる多段階攻撃と説明した。
署名アクセスが8000万USRの作成を可能にした
攻撃者の目標は、作成操作の署名権限を取得することだった。Resolvによると、初期の試みは既存のアクセス制御によってブロックされた。
しかし、攻撃者はクラウドシステム内を移動し続けた。彼らは後に、より高レベルのインフラストラクチャロールを通じた経路を発見した。
報告によると、そのロールは主要なアクセスポリシーを変更できた。ポリシーが変更されると、攻撃者は署名権限を取得した。
これにより彼らは作成アクションを完了する能力を得た。その後、Counterコントラクトが不正な取引に使用された。
最初の不正な作成は2:21:35 UTCに行われた。Resolvによると、この取引で5000万USRが作成された。
攻撃者は次に、多数のウォレットを通じてトークンをETHに交換し始めた。2回目の作成は3:41 UTCに続き、さらに3000万USRが作成された。
Resolvによると、監視システムは最初の異常な取引をリアルタイムで検知した。チームはその後、バックエンドとオンチェーンシステム全体で対応の準備を開始した。
侵害にはインフラストラクチャアクセスが関与していたため、チームは使用された経路を特定する必要があった。このレビューが最初の封じ込めステップを形成した。
こちらも読む:
Resolvの復旧とセキュリティレビュー
チームはスマートコントラクトを一時停止する前にバックエンドサービスを停止した。5:16 UTCに、チームは一時停止機能を持つすべてのコントラクトを一時停止した。
5:30 UTCに、セキュリティチームはクラウドシステム全体で侵害された認証情報を取り消した。Resolvによると、ログには5:15 UTCまでの攻撃者の活動が示されていた。
封じ込め後、プロトコルはオンチェーンでの復旧アクションを開始した。Resolvによると、約4600万USRが無効化された。
プロトコルは必要なタイムロックの後、直接バーンとブラックリスト機能を使用した。残りの不正に作成された供給量に関する調査は現在も進行中である。
Resolvはハッキング前のUSR保有者に1:1で補償している。チームはすでに適格な償還の大部分を処理しており、残りの処理を続けている。
同時に、ほとんどのプロトコル操作は今後の通知があるまで一時停止されたままである。同社は担保の安全性と償還処理を優先していると述べた。
報告によると、侵害は1つの孤立した弱点によって引き起こされたものではなかった。代わりに、攻撃者はサードパーティとクラウド権限にまたがる小さなギャップを連鎖させた。
Resolvは現在、オンチェーンでの作成上限とオラクル価格チェックを計画している。また、自動一時停止システムとより厳格なGitHubアクセスルールも計画している。
出典: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
