"Crypto Heist expuesto: desentrañar la brecha de $ 25 millones que aprovechó la vulnerabilidad de 80 millones de tokens de Resolv"

El protocolo Resolv fue víctima de un sofisticado ciberataque el 22 de marzo de 2026, lo que provocó una pérdida de 25 millones de dólares. Los atacantes explotaron la infraestructura de firma fuera de la cadena para acuñar 80 millones de tokens USR sin la autorización adecuada. La infracción se desarrolló en múltiples organizaciones y capas de infraestructura. Desde entonces, Resolv contuvo el ataque, revocó todas las credenciales comprometidas y detuvo la mayoría de las operaciones del protocolo. Los titulares de USR previos al hackeo reciben una compensación 1:1 y la mayoría de los canjes ya se han procesado. El ataque comenzó completamente fuera de la propia infraestructura de Resolv. Un contratista había contribuido previamente a un proyecto de terceros que se vio comprometido por separado. Los atacantes obtuvieron una credencial de GitHub vinculada a la cuenta de ese contratista. Esa única credencial abrió una puerta a los repositorios de código de Resolv. Una vez dentro, los atacantes implementaron un flujo de trabajo de GitHub malicioso. Este flujo de trabajo extrajo silenciosamente credenciales de infraestructura confidenciales sin activar la detección de la red saliente. Resolv confirmó en su autopsia que los atacantes "eliminaron su propio acceso del repositorio para minimizar su huella forense" después de obtener esas credenciales. https://t.co/vuNDr5CTa4 — Resolv Labs (@ResolvLabs) 4 de abril de 2026 Las credenciales extraídas les dieron acceso al entorno de nube de Resolv. Durante varios días, los atacantes llevaron a cabo reconocimientos silenciosos, servicios de mapeo y búsqueda de claves API vinculadas a integraciones de terceros. Trabajaron metódicamente antes de pasar a la ejecución. Obtener la autoridad de firma sobre la clave de acuñación no fue sencillo. Varios intentos de escalada fallaron debido a los controles de acceso existentes. Como señaló la autopsia de Resolv, los atacantes finalmente utilizaron "las capacidades de gestión de políticas de un rol con mayores privilegios para modificar la política de acceso a la clave directamente, otorgándose autoridad de firma". El monitoreo en tiempo real marcó la primera transacción anómala aproximadamente una hora después de la acuñación inicial. Luego, el equipo comenzó a prepararse para pausar contratos, detener servicios de backend y revocar credenciales comprometidas. A las 05:16 UTC, todos los contratos inteligentes relevantes con funcionalidad de pausa se pausaron por completo en la cadena. A las 05:30 UTC, las credenciales revocadas habían cortado por completo el acceso a la nube de los atacantes. Resolv señaló que “los registros forenses confirman que los atacantes habían estado activos tan recientemente como a las 05:15 UTC”, lo que significa que la contención se produjo mientras la amenaza aún estaba activa. Desde entonces, alrededor de 46 millones de los 80 millones de USR acuñados ilícitamente han sido neutralizados mediante quemaduras y listas negras. Resolv contrató a varias empresas externas para ayudar con la recuperación. Estos incluyen Hexens para análisis forense de infraestructura, MixBytes para auditoría de contratos inteligentes, SEAL 911 para coordinación de emergencias e Hypernative para monitoreo en tiempo real. Mandiant y ZeroShadow también se unirán a la investigación más amplia. En el futuro, Resolv planea reemplazar las credenciales CI/CD con autenticación basada en OIDC. El equipo declaró que está "implementando límites de menta en cadena y validación de precios basada en Oracle para las operaciones de acuñación" como parte de su plan de remediación. También se están desarrollando mecanismos automatizados de pausa de emergencia conectados al monitoreo en vivo para evitar demoras similares en futuras respuestas a incidentes.