Resolv: 72h-Ultimatum zur Rückgabe von 90 % der $25 Mio.

• Resolv Labs hat dem Angreifer nach einem Sicherheitsvorfall in Höhe von 25 Millionen US-Dollar ein 72-Stunden-Ultimatum gestellt.
• Dem Hacker wird eine Belohnung von 10 % (2,5 Mio. USD) angeboten, wenn er bis Donnerstag 90 % der gestohlenen Gelder zurückgibt.
• Bei dem Exploit wurden unbefugt 80 Millionen USR-Token geprägt, die anschließend in 11.409 ETH umgetauscht wurden.

Bedingungen des Vergleichsangebots

Am Montag sandte der in Abu Dhabi ansässige Stablecoin-Herausgeber Resolv Labs eine On-Chain-Nachricht an die Person, die für den Exploit am Sonntag verantwortlich ist. Das Protokoll hat eine spezifische Rückgabeadresse bereitgestellt und eine Frist bis Donnerstag gesetzt, um 90 % der Vermögenswerte zu erhalten. Dies umfasst etwa 22,5 Millionen US-Dollar in Ether (ETH) sowie alle verbleibenden USR-Token, die sich noch unter der Kontrolle des Angreifers befinden.

Alternativ bot Resolv einen „White Hat“-Weg an. Dies würde erfordern, dass die Person nachweist, dass sie legitime Sicherheitsforschung betrieben hat, indem sie das Team per E-Mail kontaktiert, anstatt die finanziellen Vergleichsbedingungen anzunehmen.

Details zum Vorfall und technische Schwachstellen

Der Vorfall ereignete sich am frühen Sonntagmorgen, dem 22. März. Der Angreifer startete den Exploit, indem er 200.000 USDC in den Resolv USR Counter-Vertrag einzahlte. Im Gegenzug prägte er zwei Chargen von USR-Token – eine über 50 Millionen und eine weitere über 30 Millionen. Diese ungedeckten Token wurden dann auf verschiedenen dezentralen Börsen gegen andere Stablecoins getauscht, bevor sie in insgesamt 11.409 ETH umgewandelt wurden.

Blockchain-Analysten führten die Schwachstelle auf eine privilegierte Prägerolle zurück, die von einem einzelnen externen Konto (EOA) gesteuert wurde. Dem System fehlten mehrere kritische Sicherheitsfunktionen, darunter:

• Keine maximalen Prägelimits pro Transaktion oder Konto.
• Keine Oracle-Preisprüfungen zur Verifizierung von Vermögenswerten.
• Keine Multi-Signatur-Autorisierung für Rollen mit hohen Privilegien.

Mögliche Eskalation und Entschädigung der Nutzer

Resolv warnte davor, dass aggressive Maßnahmen ergriffen werden, falls die Gelder nicht innerhalb des 72-Stunden-Fensters zurückgegeben werden. Dazu gehört die Koordinierung mit zentralisierten Börsen (CEXs), Bridges und Infrastrukturanbietern, um die gestohlenen Vermögenswerte einzufrieren. Das Protokoll beabsichtigt zudem, Blockchain-Analysefirmen und Strafverfolgungsbehörden einzuschalten, um rechtliche Schritte einzuleiten und alle Transaktionshistorien öffentlich zu verfolgen.

In Bezug auf die Auswirkungen auf die Nutzer erklärte Resolv Digital Assets Ltd., dass man mit allen auf der Whitelist stehenden Nutzern in Kontakt stehe, die zum Zeitpunkt des Vorfalls USR hielten. Rückerstattungen für USR-Bestände von vor dem Vorfall wurden für diese Gruppe bereits aktiviert, während Updates für andere Nutzer folgen sollen.