22 марта 2026 года криптопротокол Resolv стал жертвой скоординированной атаки, в результате которой злоумышленники незаконно эмитировали 80 миллионов токенов USR и вывели активы на сумму около $25 миллионов в ETH. Инцидент стал следствием многоэтапного взлома, который начался за пределами основной инфраструктуры проекта.
Атака началась с компрометации аккаунта подрядчика, который ранее работал над сторонним проектом. Через утекшие учетные данные GitHub злоумышленники получили доступ к внутренним репозиториям Resolv. Несмотря на то, что производственные защитные механизмы заблокировали прямое развертывание кода, атакующие смогли внедрить вредоносный рабочий процесс (workflow), который позволил им незаметно извлечь чувствительные ключи доступа.
Следующим этапом стало проникновение в облачные системы Resolv, где злоумышленники провели разведку инфраструктуры и нацелились на API-ключи. Им удалось эскалировать привилегии, изменив политику доступа к ключу подписи, что в конечном итоге предоставило им полномочия для санкционирования операций по эмиссии токенов.
Первая несанкционированная транзакция была выполнена в 02:21 UTC и привела к эмиссии 50 миллионов USR. Атакующие немедленно начали обменивать токены на ETH через несколько кошельков и децентрализованные биржи. В 03:41 UTC последовала вторая транзакция, в результате которой было создано еще 30 миллионов USR. Весь процесс конвертации активов и вывода средств занял примерно 80 минут.
Команда Resolv отреагировала на аномальную активность, обнаруженную системами мониторинга. К 05:30 UTC были отозваны все скомпрометированные учетные данные, приостановлены соответствующие смарт-контракты и отключена затронутая инфраструктура. В рамках мер по восстановлению протокол нейтрализовал около 46 миллионов USR путем сжигания токенов и использования функций черного списка.
Владельцы USR, приобретших токены до взлома, получают полную компенсацию в соотношении 1:1, причем большая часть выплат уже обработана. Расследование инцидента ведется с привлечением внешних фирм, включая Hypernative, Hexens, MixBytes, SEAL 911, Mandiant и ZeroShadow. Основные операции протокола остаются приостановленными до завершения судебно-технической экспертизы и модернизации систем безопасности.
