Resolv dijo que los atacantes acuñaron 80M de USR y extrajeron alrededor de $25M en ETH antes de que los servicios fueran pausados y el acceso revocado.
Resolv ha publicado nuevos detalles sobre la brecha de seguridad del 22 de marzo de 2026. El protocolo dijo que los atacantes acuñaron 80 millones de USR a través de transacciones no autorizadas.
Los tokens acuñados fueron luego intercambiados por ETH a través de intercambios descentralizados. Resolv dijo que el valor total tomado fue de aproximadamente $25 millones.
El ataque comenzó fuera de los sistemas centrales de Resolv
Resolv dijo que el ataque comenzó fuera de su infraestructura directa. Un contratista había trabajado previamente en un proyecto separado de terceros.
Ese proyecto fue posteriormente comprometido, y una credencial relacionada de GitHub fue expuesta. Los atacantes luego usaron esa credencial para ingresar a algunos repositorios de Resolv.
Después de obtener acceso, los atacantes colocaron un flujo de trabajo dañino dentro del entorno del repositorio.
Resolv dijo que el flujo de trabajo robó credenciales sin activar alertas de tráfico saliente.
Los atacantes posteriormente eliminaron su propio acceso del repositorio. Ese paso parece haber reducido los rastros después de la intrusión inicial.
Las credenciales robadas abrieron un camino hacia el entorno de nube de Resolv. Desde allí, los atacantes revisaron servicios y buscaron más claves.
También intentaron obtener acceso a integraciones de terceros. Resolv describió el evento como un ataque de múltiples etapas a través de varios sistemas.
El acceso de firma habilitó la acuñación de 80M de USR
El objetivo de los atacantes era obtener autoridad de firma para operaciones de acuñación. Resolv dijo que los primeros intentos fueron bloqueados por los controles de acceso existentes.
Sin embargo, los atacantes continuaron moviéndose a través del sistema de nube. Posteriormente encontraron una ruta a través de un rol de infraestructura de nivel superior.
Según el informe, ese rol podía modificar la política de acceso a claves. Una vez que la política cambió, los atacantes obtuvieron autoridad de firma.
Eso les dio la capacidad de completar acciones de acuñación. El contrato Counter fue entonces utilizado para las transacciones no autorizadas.
La primera acuñación ilícita tuvo lugar a las 02:21:35 UTC. Resolv dijo que la transacción creó 50 millones de USR.
Los atacantes luego comenzaron a intercambiar los tokens por ETH a través de muchas billeteras. Una segunda acuñación siguió a las 03:41 UTC y creó otros 30 millones de USR.
Resolv dijo que su sistema de monitoreo detectó la primera transacción inusual en tiempo real. El equipo entonces comenzó a preparar una respuesta a través de sistemas backend y en cadena.
Debido a que la brecha involucró acceso a la infraestructura, el equipo necesitaba identificar la ruta utilizada. Esa revisión dio forma a los primeros pasos de contención.
Leer también:
Recuperación y revisión de seguridad de Resolv
El equipo detuvo los servicios backend antes de pausar los smart contracts. A las 05:16 UTC, el equipo pausó todos los contratos con funciones de pausa.
A las 05:30 UTC, el equipo de seguridad revocó las credenciales comprometidas a través del sistema de nube. Resolv dijo que los registros mostraron actividad de los atacantes hasta las 05:15 UTC.
Después de la contención, el protocolo comenzó acciones de recuperación en cadena. Resolv dijo que aproximadamente 46 millones de USR han sido neutralizados.
El protocolo utilizó quemas directas y funciones de lista negra después del timelock requerido. La investigación sobre el suministro restante acuñado ilícitamente aún está activa.
Resolv está compensando a los titulares de USR previos al hackeo en una base 1:1. El equipo ya ha procesado la mayoría de los reembolsos elegibles, mientras continúa manejando el resto.
Al mismo tiempo, la mayoría de las operaciones del protocolo permanecen pausadas hasta nuevo aviso. La compañía dijo que está priorizando la seguridad del colateral y el procesamiento de reembolsos.
El informe dijo que la brecha no fue causada por una debilidad aislada. En cambio, los atacantes encadenaron brechas más pequeñas a través de terceros y permisos de nube.
Resolv ahora planea límites de acuñación en cadena y verificaciones de precios de oráculo. También planea sistemas de pausa automatizados y reglas de acceso más estrictas a GitHub.
Fuente: https://www.livebitcoinnews.com/inside-resolvs-25m-crypto-breach-and-the-80m-usr-mint-attack/
