Resolv требует от хакера вернуть 90% из $25 млн за 72 часа

• Компания Resolv Labs выдвинула 72-часовой ультиматум злоумышленнику после кражи 25 миллионов долларов.
• Хакеру предложено вознаграждение в размере 10% (2,5 млн долларов), если он вернет 90% украденных средств до четверга.
• В ходе атаки было незаконно выпущено 80 миллионов токенов USR, которые затем были конвертированы в 11 409 ETH.

Условия мирового соглашения

В понедельник эмитент стейблкоинов из Абу-Даби Resolv Labs отправил ончейн-сообщение лицу, ответственному за воскресный взлом. Протокол предоставил специальный адрес для возврата и установил крайний срок до четверга, чтобы получить 90% активов. Сюда входят примерно 22,5 млн долларов в Ether (ETH) и любые оставшиеся токены USR, находящиеся под контролем атакующего.

В качестве альтернативы Resolv предложила путь «белого хакера». Для этого злоумышленник должен доказать, что он проводил добросовестное исследование безопасности, связавшись с командой по электронной почте, вместо принятия финансовых условий соглашения.

Подробности инцидента и технические уязвимости

Взлом произошел рано утром в воскресенье, 22 марта. Атакующий начал с депозита в размере 200 000 USDC в контракт Resolv USR Counter. Взамен он выпустил две партии токенов USR — сначала 50 миллионов, а затем еще 30 миллионов. Эти необеспеченные токены были обменены на децентрализованных биржах на другие стейблкоины, а затем конвертированы в общей сложности в 11 409 ETH.

Блокчейн-аналитики выяснили, что уязвимость была связана с привилегированной ролью минтинга (выпуска), которой управлял один внешний аккаунт (EOA). В системе отсутствовали критически важные функции безопасности:

• Лимиты на максимальный выпуск для транзакции или аккаунта.
• Проверка цен через оракулы для верификации стоимости активов.
• Авторизация через мультиподпись для высокопривилегированных ролей.

Меры эскалации и восстановление прав пользователей

Resolv предупредила, что если средства не будут возвращены в течение 72 часов, она примет жесткие меры. Они включают координацию с централизованными биржами (CEX), мостами и провайдерами инфраструктуры для заморозки украденных активов. Протокол также намерен привлечь аналитические блокчейн-компании и правоохранительные органы для судебного преследования и публичного отслеживания транзакций.

Что касается пользователей, Resolv Digital Assets Ltd. заявила, что поддерживает связь со всеми пользователями из «белого списка», которые владели USR на момент инцидента. Для этой группы уже активирована возможность выкупа токенов, находившихся на балансе до взлома. Информация для остальных пользователей будет предоставлена позже.