"كشف سرقة العملات المشفرة: الكشف عن اختراق بقيمة 25 مليون دولار استغل ثغرة أمنية بقيمة 80 مليون رمز في Resolv"

جدول المحتويات وقع بروتوكول Resolv Protocol ضحية لهجوم إلكتروني متطور في 22 مارس 2026، مما أدى إلى خسارة قدرها 25 مليون دولار. استغل المهاجمون البنية التحتية للتوقيع خارج السلسلة لسك 80 مليون رمز USR دون الحصول على إذن مناسب. تم الكشف عن الاختراق عبر العديد من المؤسسات وطبقات البنية التحتية. وقد تمكن Resolv منذ ذلك الحين من احتواء الهجوم، وألغى جميع بيانات الاعتماد المخترقة، وأوقف معظم عمليات البروتوكول مؤقتًا. يتم تعويض حاملي USR قبل الاختراق على أساس 1:1، مع معالجة معظم عمليات الاسترداد بالفعل. بدأ الهجوم خارج البنية التحتية الخاصة بشركة Resolv بالكامل. سبق أن ساهم أحد المقاولين في مشروع تابع لجهة خارجية تم اختراقه بشكل منفصل. حصل المهاجمون على بيانات اعتماد GitHub المرتبطة بحساب ذلك المقاول. فتحت بيانات الاعتماد الوحيدة هذه الباب أمام مستودعات أكواد Resolv. بمجرد الدخول، قام المهاجمون بنشر سير عمل GitHub الضار. قام سير العمل هذا باستخراج بيانات اعتماد البنية التحتية الحساسة بهدوء دون تشغيل الكشف عن الشبكة الصادرة. وأكد Resolv في تقريره بعد الوفاة أن المهاجمين "أزالوا وصولهم من المستودع لتقليل آثار الطب الشرعي" بعد سحب بيانات الاعتماد تلك. https://t.co/vuNDr5CTa4 — Resolv Labs (@ResolvLabs) 4 أبريل 2026، ثم منحتهم بيانات الاعتماد المستخرجة إمكانية الدخول إلى بيئة Resolv السحابية. على مدار عدة أيام، أجرى المهاجمون عمليات استطلاع هادئة، وخدمات رسم الخرائط، والتحقيق في مفاتيح واجهة برمجة التطبيقات (API) المرتبطة بعمليات تكامل الجهات الخارجية. لقد عملوا بشكل منهجي قبل التحرك نحو التنفيذ. لم يكن الحصول على سلطة التوقيع على مفتاح سك العملة أمرًا سهلاً. فشلت محاولات التصعيد المتعددة بسبب عناصر التحكم في الوصول الموجودة. وكما أشار تقرير Resolv بعد الوفاة، استخدم المهاجمون في النهاية "قدرات إدارة سياسة الدور ذي الامتيازات الأعلى لتعديل سياسة الوصول إلى المفتاح مباشرة، ومنح أنفسهم سلطة التوقيع". أشارت المراقبة في الوقت الفعلي إلى أول معاملة شاذة خلال ساعة واحدة تقريبًا من سك العملة الأولي. بدأ الفريق بعد ذلك في الاستعداد لإيقاف العقود مؤقتًا، وإيقاف الخدمات الخلفية، وإلغاء بيانات الاعتماد المخترقة. في الساعة 05:16 بالتوقيت العالمي، تم إيقاف جميع العقود الذكية ذات الصلة ذات وظيفة الإيقاف المؤقت بشكل كامل على السلسلة. بحلول الساعة 05:30 بالتوقيت العالمي، أدت بيانات الاعتماد الملغاة إلى قطع وصول المهاجمين إلى السحابة بالكامل. وأشار Resolv إلى أن "سجلات الطب الشرعي تؤكد أن المهاجمين كانوا نشطين حتى الساعة 05:15 بالتوقيت العالمي المنسق"، مما يعني أن الاحتواء حدث بينما كان التهديد لا يزال قائمًا. تم منذ ذلك الحين تحييد حوالي 46 مليونًا من أصل 80 مليونًا من USR المسكوكة بشكل غير قانوني من خلال الحروق والإدراج في القائمة السوداء. استعانت Resolv بالعديد من الشركات الخارجية للمساعدة في التعافي. وتشمل هذه الحلول Hexens للتحليل الجنائي للبنية التحتية، وMixBytes لتدقيق العقود الذكية، وSEAL 911 للتنسيق في حالات الطوارئ، وHypernative للمراقبة في الوقت الفعلي. ومن المقرر أيضًا أن ينضم Mandiant وZeroShadow إلى التحقيق الأوسع. للمضي قدمًا، تخطط Resolv لاستبدال بيانات اعتماد CI/CD بالمصادقة المستندة إلى OIDC. صرح الفريق بأنه "ينفذ قبعات النعناع على السلسلة والتحقق من صحة الأسعار المستندة إلى أوراكل لعمليات التعدين" كجزء من خطة العلاج الخاصة به. يتم أيضًا تطوير آليات الإيقاف المؤقت التلقائي للطوارئ والمتصلة بالمراقبة المباشرة لمنع حدوث تأخيرات مماثلة في الاستجابة للحوادث في المستقبل.