Nach Angaben von Resolv verschaffte sich ein Angreifer über einen kompromittierten Private Key unbefugten Zugang zur Infrastruktur des Unternehmens. „Heute früh hat sich ein böswilliger Akteur über einen kompromittierten Private Key unbefugten Zugang zur Resolv-Infrastruktur verschafft, was zur Prägung von rund 80 Millionen ungedeckter USR führte“, teilte das Unternehmen mit.
In einer über die Blockchain übermittelten Nachricht an den Täter bot Resolv 10 Prozent der 24,5 Millionen Dollar in ETH als Gegenleistung dafür an, den Rest zurückzugeben. „Auch wenn bei diesem Vorfall eine Schwachstelle eine Rolle spielte, wurde der Angriff mit eindeutig böswilliger Absicht ausgeführt – mit der Folge ungedeckter Vermögenswerte und möglicher Auswirkungen auf den Sekundärmarkt“, hieß es. Das Unternehmen forderte den Angreifer auf, alle verbleibenden USR innerhalb von 72 Stunden zu übertragen, und drohte andernfalls damit, mit zentralisierten Börsen zusammenzuarbeiten, um die Mittel einzufrieren, Strafverfolgungsbehörden und Blockchain-Analysefirmen einzuschalten sowie rechtliche Schritte einzuleiten.
Die Blockchain-Sicherheitsfirma Chainalysis veröffentlichte eine eigene Aufarbeitung und sprach von einem „Fall von übermäßigem Vertrauen in Off-Chain-Infrastruktur“. Trotz aller klassischen Sicherheitsmaßnahmen und bis zu 18 Audits sei der Vorfall im Kern eine einfache Geschichte: „Ein Angreifer kam an einen Schlüssel, nutzte ihn, um Geld zu drucken, und verkaufte das gefälschte Geld, bevor es jemand bemerkte“, so Chainalysis.
Laut Chainalysis begann der Angreifer mit einer vergleichsweise kleinen Einzahlung von etwa 100.000 bis 200.000 US-Dollar in USDC und interagierte damit über das USR-Prägesystem von Resolv. Normalerweise zahlen Nutzer USDC ein und erhalten einen entsprechenden Betrag in USR zurück. In diesem Fall jedoch konnte der Angreifer rund 80 Millionen USR-Token prägen – weit mehr, als seine Einzahlung erlaubt hätte.
Möglich war dies, weil die Freigabe für das Prägen von einem weiteren Dienst abhängt, bei dem ein Private Key signiert, wie viel USR erzeugt werden darf. Nach dem Diebstahl dieses Schlüssels erzwang das System keine Obergrenze für die Prägung mehr.
Resolv setzte den Betrieb seiner App vorübergehend aus, um die Folgen des Vorfalls einzudämmen. „Sobald der Plan zur Wiederherstellung des Protokolls feststeht und die Anwendung wieder sicher nutzbar ist, werden alle Funktionen wiederhergestellt“, erklärte das Unternehmen. Resolv stehe nun mit allen verifizierten Nutzern in Kontakt, die zum Zeitpunkt des Vorfalls USR hielten; Rückgaben seien wieder möglich. Kunden wurden aufgefordert, USR oder andere Resolv-Token vorerst nicht zu handeln, während man an der Rückholung der unrechtmäßig erzeugten Coins arbeite.
