« Crypto Heist dévoilé : dévoiler la faille de 25 millions de dollars qui a exploité la vulnérabilité de 80 millions de jetons de Resolv »

Table des matières Le protocole Resolv a été victime d'une cyberattaque sophistiquée le 22 mars 2026, entraînant une perte de 25 millions de dollars. Les attaquants ont exploité l’infrastructure de signature hors chaîne pour créer 80 millions de jetons USR sans autorisation appropriée. La violation s’est propagée à plusieurs organisations et couches d’infrastructure. Resolv a depuis contenu l'attaque, révoqué toutes les informations d'identification compromises et suspendu la plupart des opérations de protocole. Les détenteurs d'USR avant le piratage sont rémunérés sur une base de 1:1, la plupart des rachats étant déjà traités. L’attaque a commencé en dehors de la propre infrastructure de Resolv. Un entrepreneur avait déjà contribué à un projet tiers qui a été séparément compromis. Les attaquants ont obtenu un identifiant GitHub lié au compte de cet entrepreneur. Ce seul identifiant a ouvert la porte aux référentiels de codes de Resolv. Une fois à l’intérieur, les attaquants ont déployé un workflow GitHub malveillant. Ce flux de travail a extrait silencieusement les informations d’identification sensibles de l’infrastructure sans déclencher la détection du réseau sortant. Resolv a confirmé dans son post-mortem que les attaquants « ont supprimé leur propre accès du référentiel afin de minimiser leur empreinte médico-légale » après avoir extrait ces informations d'identification. https://t.co/vuNDr5CTa4 — Resolv Labs (@ResolvLabs) 4 avril 2026 Les informations d'identification extraites leur ont ensuite donné accès à l'environnement cloud de Resolv. Pendant plusieurs jours, les attaquants ont effectué des reconnaissances discrètes, cartographié des services et recherché des clés API liées à des intégrations tierces. Ils ont travaillé méthodiquement avant de passer à l’exécution. Obtenir l’autorité de signature sur la clé de frappe n’était pas simple. Plusieurs tentatives de remontée d'informations ont échoué en raison des contrôles d'accès existants. Comme l’a noté l’autopsie de Resolv, les attaquants ont finalement utilisé « les capacités de gestion des politiques d’un rôle plus privilégié pour modifier directement la politique d’accès de la clé, en s’accordant un pouvoir de signature ». La surveillance en temps réel a signalé la première transaction anormale dans un délai d'environ une heure après la frappe initiale. L’équipe a alors commencé à se préparer à suspendre les contrats, à arrêter les services backend et à révoquer les informations d’identification compromises. À 05h16 UTC, tous les contrats intelligents pertinents dotés d'une fonctionnalité de pause ont été entièrement suspendus en chaîne. À 05h30 UTC, les informations d’identification révoquées avaient complètement coupé l’accès des attaquants au cloud. Resolv a noté que « les journaux médico-légaux confirment que les attaquants avaient été actifs aussi récemment que 05h15 UTC », ce qui signifie que le confinement a eu lieu alors que la menace était toujours active. Environ 46 millions des 80 millions d’USR frappés illégalement ont depuis été neutralisés par des brûlages et des listes noires. Resolv a engagé plusieurs sociétés externes pour l'aider à se rétablir. Il s'agit notamment de Hexens pour l'investigation des infrastructures, de MixBytes pour l'audit de contrats intelligents, de SEAL 911 pour la coordination des urgences et d'Hypernative pour la surveillance en temps réel. Mandiant et ZeroShadow devraient également se joindre à l'enquête plus large. À l’avenir, Resolv prévoit de remplacer les informations d’identification CI/CD par une authentification basée sur OIDC. L'équipe a déclaré qu'elle « mettait en œuvre des plafonds de menthe en chaîne et une validation des prix basée sur Oracle pour les opérations de frappe » dans le cadre de son plan de remédiation. Des mécanismes automatisés de pause d’urgence connectés à une surveillance en direct sont également en cours de développement pour éviter des retards similaires dans la réponse aux incidents futurs.