«Разоблачено ограбление криптовалюты: раскрытие взлома на сумму 25 миллионов долларов, в результате которого использовалась уязвимость Resolv с 80 миллионами токенов»

Оглавление Resolv Protocol стал жертвой изощренной кибератаки 22 марта 2026 года, в результате которой потери составили 25 миллионов долларов. Злоумышленники воспользовались инфраструктурой подписи вне сети для выпуска 80 миллионов токенов USR без надлежащей авторизации. Нарушение распространилось на несколько организаций и уровней инфраструктуры. С тех пор Resolv сдержал атаку, отозвал все скомпрометированные учетные данные и приостановил большинство операций протокола. Владельцы USR до взлома получают компенсацию в соотношении 1:1, причем большинство погашений уже обработано. Атака началась полностью за пределами собственной инфраструктуры Resolv. Подрядчик ранее внес свой вклад в сторонний проект, который был отдельно скомпрометирован. Злоумышленники получили учетные данные GitHub, связанные с учетной записью этого подрядчика. Эти единственные учетные данные открыли дверь в репозитории кода Resolv. Оказавшись внутри, злоумышленники развернули вредоносный рабочий процесс GitHub. Этот рабочий процесс незаметно извлекал конфиденциальные учетные данные инфраструктуры, не запуская обнаружение исходящей сети. В своем вскрытии Resolv подтвердила, что злоумышленники «закрыли собственный доступ к хранилищу, чтобы минимизировать свое влияние» после получения этих учетных данных. https://t.co/vuNDr5CTa4 — Resolv Labs (@ResolvLabs) 4 апреля 2026 г. Извлеченные учетные данные затем предоставили им доступ в облачную среду Resolv. В течение нескольких дней злоумышленники проводили скрытую разведку, картографические сервисы и поиск ключей API, привязанных к сторонним интеграциям. Они работали методично, прежде чем перейти к казни. Получить право подписи над ключом чеканки было непросто. Несколько попыток эскалации не удались из-за существующих средств управления доступом. Как отмечается в отчете Resolv, злоумышленники в конечном итоге использовали «возможности управления политиками роли с более высоким уровнем привилегий, чтобы напрямую изменить политику доступа к ключу, предоставив себе полномочия подписи». Мониторинг в режиме реального времени выявил первую аномальную транзакцию примерно через час после первоначального чеканки. Затем команда начала готовиться к приостановке контрактов, остановке серверных служб и отзыву скомпрометированных учетных данных. В 05:16 UTC все соответствующие смарт-контракты с функцией паузы были полностью приостановлены в цепочке. К 05:30 UTC отозванные учетные данные полностью лишили злоумышленников доступа к облаку. Resolv отметил, что «журналы судебно-медицинской экспертизы подтверждают, что злоумышленники были активны еще в 05:15 UTC», что означает, что сдерживание произошло, пока угроза еще была жива. Около 46 миллионов из 80 миллионов незаконно отчеканенных USR с тех пор были нейтрализованы путем сжигания и внесения в черный список. Resolv привлекла несколько внешних фирм для помощи в восстановлении. К ним относятся Hexens для криминалистики инфраструктуры, MixBytes для аудита смарт-контрактов, SEAL 911 для координации действий в чрезвычайных ситуациях и Hypernative для мониторинга в реальном времени. Mandiant и ZeroShadow также собираются присоединиться к более широкому расследованию. В дальнейшем Resolv планирует заменить учетные данные CI/CD аутентификацией на основе OIDC. Команда заявила, что «внедряет ограничения монетного двора в цепочке и проверку цен на основе Oracle для операций по чеканке» в рамках своего плана исправления ситуации. Автоматизированные механизмы аварийной паузы, связанные с мониторингом в реальном времени, также находятся в разработке, чтобы предотвратить подобные задержки при реагировании на инциденты в будущем.