Resolv向黑客发通牒：72小时内归还90%被盗资金

• Resolv Labs 在发生 2500 万美元 的安全漏洞后，向攻击者发出了 72 小时的最后通牒。
• 如果攻击者在周四前归还 90% 的被盗资金，将被允许保留 10%（约 250 万美元）作为赏金。
• 此次攻击涉及非法铸造 8000 万枚 USR 代币，随后这些代币被兑换成了 11,409 枚 ETH。

和解提议条款

周一，总部位于阿布扎比的稳定币发行方 Resolv Labs 向周日攻击事件的实施者发送了链上消息。该协议提供了一个特定的追回地址，并要求攻击者在 周四 之前转回 90% 的资产。这包括价值约 2250 万美元 的 以太坊 (ETH) 以及攻击者控制下的任何剩余 USR 代币。

作为替代方案，Resolv 还提供了一条“白帽”披露途径。这要求攻击者通过电子邮件证明其行为属于正当的安全研究，而非接受财务和解条款。

漏洞细节与技术原因

此次攻击发生在 3 月 22 日（周日）凌晨。攻击者首先向 Resolv USR Counter 合约存入了 20 万美元的 USDC，随后铸造了两批 USR 代币，分别为 5000 万枚 和 3000 万枚。这些无抵押代币在去中心化交易所被兑换成其他稳定币，最后转换为总计 11,409 枚 ETH。

区块链分析师指出，该漏洞源于一个由单一外部账户 (EOA) 控制的特权铸造角色。该系统缺乏多项关键安全机制：

• 缺乏单笔交易或单个账户的 最高铸造限制。
• 缺乏用于验证资产价值的 预言机价格检查。
• 高权限角色缺乏 多重签名授权。

升级措施与用户恢复

Resolv 警告称，如果资金未在 72 小时 内归还，将采取进一步行动。这些措施包括与 中心化交易所 (CEX)、跨链桥和基础设施供应商协作以冻结被盗资产。该协议还计划介入 区块链分析公司 和 执法部门，采取法律手段并公开追踪所有交易记录。

在用户影响方面，Resolv Digital Assets Ltd. 表示正在联系事故发生时持有 USR 的所有白名单用户。目前已为该群体开启了事故前 USR 的赎回功能，其他用户的更新信息将随后发布。