„Krypto-Raub aufgedeckt: Aufdeckung des 25-Millionen-Dollar-Verstoßes, der die 80-Millionen-Token-Schwachstelle von Resolv ausnutzte“

Inhaltsverzeichnis Das Resolv-Protokoll wurde am 22. März 2026 Opfer eines raffinierten Cyberangriffs, der einen Verlust von 25 Millionen US-Dollar zur Folge hatte. Angreifer nutzten die Signierungsinfrastruktur außerhalb der Kette aus, um ohne entsprechende Autorisierung 80 Millionen USR-Tokens zu prägen. Der Verstoß erstreckte sich über mehrere Organisationen und Infrastrukturebenen. Seitdem hat Resolv den Angriff eingedämmt, alle kompromittierten Anmeldeinformationen widerrufen und die meisten Protokollvorgänge angehalten. USR-Inhaber vor dem Hack werden 1:1 entschädigt, wobei die meisten Rücknahmen bereits bearbeitet wurden. Der Angriff begann vollständig außerhalb der eigenen Infrastruktur von Resolv. Ein Auftragnehmer hatte zuvor zu einem Drittprojekt beigetragen, das separat kompromittiert wurde. Die Angreifer erlangten GitHub-Anmeldeinformationen, die mit dem Konto dieses Auftragnehmers verknüpft waren. Dieser einzelne Berechtigungsnachweis öffnete eine Tür zu den Code-Repositories von Resolv. Im Inneren setzten die Angreifer einen bösartigen GitHub-Workflow ein. Dieser Workflow extrahierte stillschweigend vertrauliche Infrastrukturanmeldeinformationen, ohne eine ausgehende Netzwerkerkennung auszulösen. Resolv bestätigte in seiner Obduktion, dass die Angreifer „ihren eigenen Zugriff auf das Repository entfernt haben, um ihren forensischen Fußabdruck zu minimieren“, nachdem sie diese Anmeldeinformationen abgerufen hatten. https://t.co/vuNDr5CTa4 – Resolv Labs (@ResolvLabs) 4. April 2026 Die extrahierten Anmeldeinformationen verschafften ihnen dann Zugang zur Cloud-Umgebung von Resolv. Über mehrere Tage hinweg führten die Angreifer stille Erkundungstouren durch, kartierten Dienste und suchten nach API-Schlüsseln, die mit Integrationen von Drittanbietern verknüpft waren. Sie arbeiteten methodisch, bevor sie zur Ausführung übergingen. Es war nicht einfach, die Signaturberechtigung für den Münzschlüssel zu erlangen. Mehrere Eskalationsversuche scheiterten aufgrund bestehender Zugangskontrollen. Wie in der Obduktion von Resolv festgehalten wurde, nutzten die Angreifer letztendlich „die Richtlinienverwaltungsfunktionen einer höher privilegierten Rolle, um die Zugriffsrichtlinie des Schlüssels direkt zu ändern und sich selbst Signaturberechtigung zu gewähren.“ Durch die Echtzeitüberwachung wurde die erste anomale Transaktion innerhalb von etwa einer Stunde nach der ersten Ausgabe festgestellt. Anschließend begann das Team mit den Vorbereitungen für die Aussetzung von Verträgen, die Einstellung von Backend-Diensten und den Widerruf kompromittierter Zugangsdaten. Um 05:16 UTC wurden alle relevanten Smart Contracts mit Pausenfunktion in der Kette vollständig pausiert. Bis 05:30 UTC hatten die entzogenen Zugangsdaten den Angreifern den Cloud-Zugriff vollständig entzogen. Resolv stellte fest, dass „forensische Protokolle bestätigen, dass die Angreifer erst um 05:15 UTC aktiv waren“, was bedeutet, dass die Eindämmung erfolgte, während die Bedrohung noch aktiv war. Rund 46 Millionen der 80 Millionen illegal geprägten USR wurden seitdem durch Burns und Blacklisting neutralisiert. Resolv beauftragte mehrere externe Firmen mit der Unterstützung bei der Wiederherstellung. Dazu gehören Hexens für die Infrastrukturforensik, MixBytes für die Prüfung intelligenter Verträge, SEAL 911 für die Notfallkoordination und Hypernative für die Echtzeitüberwachung. Mandiant und ZeroShadow werden sich ebenfalls an der umfassenderen Untersuchung beteiligen. Für die Zukunft plant Resolv, CI/CD-Anmeldeinformationen durch OIDC-basierte Authentifizierung zu ersetzen. Das Team gab an, dass es im Rahmen seines Sanierungsplans „On-Chain-Mint-Caps und orakelbasierte Preisvalidierung für Münzbetriebe implementiert“. Es werden auch automatisierte Notfall-Pause-Mechanismen in Verbindung mit der Live-Überwachung entwickelt, um ähnliche Verzögerungen bei der künftigen Reaktion auf Vorfälle zu verhindern.