Обновление Exploit Resolv оставляет вопросы для восстановления ключа

• Resolv допускает эксплойт с разрешением на минтинг 80M USR; 98% выкупов держателей из белого списка уже завершены.

• Невнесенные в белый список пользователи и пользователи после эксплойта сталкиваются с задержками по мере разработки технических и юридических решений.

• Доказательств причастности инсайдеров не найдено, но восстановление для держателей RLP остается неопределенным без таймлайна.

Resolv Labs выпустила свежее обновление после эксплойта, который позволил злоумышленнику отчеканить 80 миллионов токенов USR с помощью скомпрометированного приватного ключа. Генеральный директор Иван Козлов обратился к пользователям на этой неделе, описав прогресс по выкупам и текущие расследования. Инцидент, впервые раскрытый недавно, продолжает затрагивать несколько групп пользователей, поскольку усилия по восстановлению продолжаются без четкого таймлайна.

Процесс выкупа движется по этапам

Согласно Resolv Labs, команда в первой фазе выкупов приоритизировала держателей USR из белого списка. Проверенные кошельки позволили обрабатывать операции вручную в течение 24 часов, что помогло ограничить более широкие сбои на рынке. Козлов подтвердил, что примерно 98% этих выкупов уже завершены.

Однако держатели до эксплойта, не внесенные в белый список, все еще находятся в ожидании. Козлов заявил, что для них действует та же договоренность по выкупу 1:1. Он добавил, что техническое решение для этих пользователей все еще разрабатывается.

При этом держатели после эксплойта, поставщики ликвидности и участники RLP сталкиваются с более сложным процессом. Козлов отметил, что эти случаи требуют координации по юридическим, техническим и экосистемным уровням. В результате ни одно решение пока не было окончательно сформировано.

Расследование не выявило доказательств участия инсайдеров

Тем временем вопросы о возможном участии инсайдеров привлекли внимание. Козлов заявил, что на данный момент расследования не обнаружили свидетельств внутренних правонарушений. Розыск продолжается вместе с фирмой по кибербезопасности Mandiant и группой блокчейн-аналитики zeroShadow.

Атака использовала приватный ключ, привязанный к привилегированной роли для минтинга. Эта учетная запись не имела защиты мультиподписью и не имела лимита на минтинг в ончейне. В результате злоумышленник мог санкционировать крупное создание токенов без ограничений.

В ответ Resolv привлекла юридических консультантов, включая Paul Hastings и Carey Olsen. Козлов сказал, что юридические соображения теперь определяют коммуникации, ограничивая то, что команда может публично раскрывать.

Неопределенность сохраняется для держателей RLP

Также внимание переключилось на держателей токена RLP, которые изначально понесли потери по задумке. В настоящее время выкупы для RLP поставлены на паузу. Козлов признал, что ведется работа над планом восстановления, но не предоставил деталей.

Несмотря на более ранние инвестиции в аудиты, мониторинг и программы bug bounty, инцидент все же произошел. Козлов признал, что эти меры оказались недостаточными в данном случае.

Пока что процесс восстановления продолжается без определенного таймлайна, оставляя затронутых пользователей в ожидании дальнейших обновлений.