"کرپٹو ہیسٹ بے نقاب: $25 ملین کی خلاف ورزی کا پردہ فاش کرنا جس نے ریزولوف کی 80 ملین ٹوکن کمزوری کا استحصال کیا"

ٹیبل آف کنٹینٹ ریزولو پروٹوکول 22 مارچ 2026 کو ایک نفیس سائبر حملے کا شکار ہوا، جس کے نتیجے میں $25 ملین کا نقصان ہوا۔ حملہ آوروں نے بغیر کسی اجازت کے 80 ملین USR ٹوکنوں کو ٹکسال کرنے کے لیے آف چین سائننگ انفراسٹرکچر کا استحصال کیا۔ یہ خلاف ورزی متعدد تنظیموں اور بنیادی ڈھانچے کی تہوں میں پھیل گئی۔ Resolv نے اس کے بعد سے حملہ کو شامل کیا ہے، تمام سمجھوتہ شدہ اسناد کو منسوخ کر دیا ہے، اور زیادہ تر پروٹوکول آپریشنز کو روک دیا ہے۔ پری ہیک USR ہولڈرز کو 1:1 کی بنیاد پر معاوضہ دیا جا رہا ہے، جس میں زیادہ تر چھٹکارے پہلے ہی پروسیس ہو چکے ہیں۔ حملہ مکمل طور پر Resolv کے اپنے بنیادی ڈھانچے کے باہر شروع ہوا۔ ایک ٹھیکیدار نے پہلے فریق ثالث کے منصوبے میں تعاون کیا تھا جس پر الگ سے سمجھوتہ کیا گیا تھا۔ حملہ آوروں نے اس ٹھیکیدار کے اکاؤنٹ سے منسلک ایک GitHub کی سند حاصل کی۔ اس واحد سند نے Resolv کے کوڈ ذخیروں میں ایک دروازہ کھول دیا۔ ایک بار اندر، حملہ آوروں نے ایک بدنیتی پر مبنی GitHub ورک فلو کو تعینات کیا۔ اس ورک فلو نے آؤٹ باؤنڈ نیٹ ورک کا پتہ لگانے کو متحرک کیے بغیر خاموشی سے حساس بنیادی ڈھانچے کی اسناد کو نکالا۔ Resolv نے اپنے پوسٹ مارٹم میں تصدیق کی کہ حملہ آوروں نے ان اسناد کو کھینچنے کے بعد "اپنے فرانزک فوٹ پرنٹ کو کم سے کم کرنے کے لیے ذخیرے سے اپنی رسائی کو ہٹا دیا"۔ https://t.co/vuNDr5CTa4 — Resolv Labs (@ResolvLabs) 4 اپریل 2026 کو نکالے گئے اسناد نے پھر انہیں Resolv کے کلاؤڈ ماحول میں داخلہ دیا۔ کئی دنوں کے دوران، حملہ آوروں نے خاموش جاسوسی، نقشہ سازی کی خدمات اور تیسرے فریق کے انضمام سے منسلک API کیز کی جانچ کی۔ انہوں نے پھانسی کی طرف بڑھنے سے پہلے طریقہ کار سے کام کیا۔ منٹنگ کلید پر دستخط کرنے کا اختیار حاصل کرنا سیدھا سیدھا نہیں تھا۔ موجودہ رسائی کنٹرولز کی وجہ سے ایک سے زیادہ اضافہ کی کوششیں ناکام ہو گئیں۔ جیسا کہ Resolv کے پوسٹ مارٹم نے نوٹ کیا، حملہ آوروں نے بالآخر "اعلیٰ مراعات یافتہ کردار کی پالیسی مینجمنٹ کی صلاحیتوں کو کلید کی رسائی کی پالیسی میں براہ راست ترمیم کرنے کے لیے استعمال کیا، خود کو دستخط کرنے کا اختیار دیا۔" اصل وقت کی نگرانی نے ابتدائی ٹکسال کے تقریبا ایک گھنٹے کے اندر پہلے غیر معمولی لین دین کو جھنڈا لگایا۔ اس کے بعد ٹیم نے معاہدوں کو روکنے، بیک اینڈ سروسز کو روکنے، اور سمجھوتہ شدہ اسناد کو منسوخ کرنے کی تیاری شروع کی۔ 05:16 UTC پر، توقف کی فعالیت کے ساتھ تمام متعلقہ سمارٹ معاہدوں کو آن چین مکمل طور پر روک دیا گیا تھا۔ 05:30 UTC تک، منسوخ شدہ اسناد نے حملہ آوروں کی کلاؤڈ رسائی کو مکمل طور پر منقطع کر دیا تھا۔ Resolv نے نوٹ کیا کہ "فارنزک لاگ اس بات کی تصدیق کرتے ہیں کہ حملہ آور حال ہی میں 05:15 UTC کے طور پر سرگرم تھے"، یعنی کنٹینمنٹ اس وقت ہوا جب خطرہ ابھی بھی زندہ تھا۔ اس کے بعد سے 80 ملین غیر قانونی طور پر بنائے گئے USR میں سے تقریباً 46 ملین کو جلانے اور بلیک لسٹ کرنے کے ذریعے بے اثر کر دیا گیا ہے۔ Resolv نے بحالی میں مدد کے لیے کئی بیرونی فرموں کو شامل کیا۔ ان میں انفراسٹرکچر فرانزکس کے لیے Hexens، سمارٹ کنٹریکٹ آڈٹ کے لیے MixBytes، ایمرجنسی کوآرڈینیشن کے لیے SEAL 911، اور حقیقی وقت کی نگرانی کے لیے Hypernative شامل ہیں۔ مینڈینٹ اور زیرو شیڈو بھی وسیع تر تفتیش میں شامل ہونے کے لیے تیار ہیں۔ آگے بڑھتے ہوئے، Resolv CI/CD اسناد کو OIDC کی بنیاد پر تصدیق کے ساتھ تبدیل کرنے کا ارادہ رکھتا ہے۔ ٹیم نے بتایا کہ وہ اپنے تدارک کے منصوبے کے حصے کے طور پر "منٹنگ آپریشنز کے لیے آن چین منٹ کیپس اور اوریکل پر مبنی قیمت کی توثیق کو نافذ کر رہی ہے"۔ لائیو مانیٹرنگ سے منسلک خودکار ہنگامی توقف کے طریقہ کار بھی ترقی کے مراحل میں ہیں تاکہ مستقبل میں واقعے کے ردعمل میں اسی طرح کی تاخیر کو روکا جا سکے۔