Resolv donne 72h au hacker pour rendre 90% des 25M$ volés

• Resolv Labs a lancé un ultimatum de 72 heures à l'auteur d'une faille de sécurité de 25 millions de dollars.
• L'attaquant se voit proposer une prime de 10 % (2,5 millions de dollars) s'il restitue 90 % des fonds volés d'ici jeudi.
• L'exploitation a impliqué l'émission non autorisée de 80 millions de tokens USR, convertis par la suite en 11 409 ETH.

Conditions de l'offre de règlement

Lundi, l'émetteur de stablecoins basé à Abou Dabi, Resolv Labs, a envoyé un message on-chain à l'individu responsable de l'attaque de dimanche. Le protocole a fourni une adresse de récupération spécifique et a fixé une date limite au jeudi pour recevoir 90 % des actifs. Cela comprend environ 22,5 millions de dollars en Ether (ETH) ainsi que tous les tokens USR restants sous le contrôle de l'attaquant.

En alternative, Resolv a proposé une voie de divulgation « white hat ». Cela exigerait que l'individu démontre qu'il effectuait des recherches de sécurité légitimes en contactant l'équipe par e-mail, au lieu de se conformer aux conditions de règlement financier.

Détails de l'incident et vulnérabilités techniques

La faille s'est produite tôt le matin du dimanche 22 mars. L'attaquant a initié l'exploitation en déposant 200 000 USDC dans le contrat Resolv USR Counter. En échange, il a généré deux lots de tokens USR : un de 50 millions et un autre de 30 millions. Ces tokens non garantis ont ensuite été échangés sur diverses plateformes décentralisées contre d'autres stablecoins avant d'être convertis en un total de 11 409 ETH.

Les analystes blockchain ont identifié que la vulnérabilité provenait d'un rôle de frappe (minting) privilégié contrôlé par un compte externe unique (EOA). Le système manquait de plusieurs fonctionnalités de sécurité critiques, notamment :

• L'absence de limites maximales de frappe par transaction ou par compte.
• L'absence de vérification des prix via oracle pour valider la valeur des actifs.
• L'absence d'autorisation multi-signature pour les rôles à hauts privilèges.

Mesures d'escalade et indemnisation des utilisateurs

Resolv a prévenu que si les fonds ne sont pas restitués dans le délai de 72 heures, des mesures agressives seront prises. Celles-ci incluent la coordination avec les plateformes d'échange centralisées (CEX), les bridges et les fournisseurs d'infrastructure pour geler les actifs volés. Le protocole a également l'intention de solliciter des sociétés d'analyse blockchain et les forces de l'ordre pour engager des poursuites judiciaires et tracer publiquement l'historique des transactions.

Concernant l'impact sur la communauté, Resolv Digital Assets Ltd. a déclaré être en contact avec tous les utilisateurs inscrits sur liste blanche qui détenaient de l'USR au moment de l'incident. Les rachats ont déjà été activés pour ce groupe de détenteurs pour leurs avoirs antérieurs à l'incident, tandis que des mises à jour pour les autres utilisateurs suivront.