Оновлення Resolv Exploit залишає питання щодо відновлення ключа

• Урази, які дозволяли експлуатацію, дали змогу карбувати 80M USR, при цьому 98% викупів у межах білого списку власників завершено.

• Невнесені до білого списку користувачі та ті, хто діяв після експлуатації, стикаються із затримками, доки розробляються технічні та юридичні рішення.

• Не виявлено доказів участі інсайдера, але відшкодування для власників RLP залишається невизначеним без таймлайну.

Resolv Labs опублікувала свіже оновлення після того, як експлойт дозволив зловмиснику карбувати 80 мільйонів USR-токенів із використанням скомпрометованого приватного ключа. Генеральний директор Іван Козлов цього тижня звернувся до користувачів, виклавши прогрес викупів і поточні розслідування. Інцидент, який уперше було розкрито нещодавно, продовжує впливати на кілька груп користувачів, оскільки зусилля з відновлення рухаються вперед без чіткого таймлайну.

Процес викупу рухається фазами

Згідно з Resolv Labs, команда в першій фазі викупів надала пріоритет власникам USR із білого списку. Перевірені гаманці дозволили виконувати обробку вручну протягом 24 годин, що допомогло обмежити ширші збої на ринку. Козлов підтвердив, що приблизно 98% цих викупів уже завершено.

Однак власники до експлойту, які не внесені до білого списку, досі перебувають у фазі очікування. Козлов сказав, що для них також діє така сама обіцянка викупу 1:1. Він додав, що технічне рішення для цих користувачів усе ще розробляється.

У той самий час власники після експлойту, постачальники ліквідності та учасники RLP стикаються з більш складним процесом. Козлов зазначив, що ці випадки потребують узгодження між юридичним, технічним і рівнями екосистеми. Як наслідок, жодне універсальне рішення не було остаточно визначено.

Розслідування не знаходить доказів інсайдерської участі

Тим часом запитання щодо причетності інсайдерів привернули увагу. Козлов заявив, що наразі розслідування не виявили доказів внутрішніх правопорушень. Перевірка триває за участі компанії з кібербезпеки Mandiant та групи блокчейн-розвідки zeroShadow.

Атака використала приватний ключ, прив’язаний до привілейованої ролі карбування. Цей обліковий запис не мав захисту багатозисної підписом (multisignature) і не мав ліміту на карбування в ланцюжку (on-chain mint cap). Як наслідок, зловмисник міг авторизувати створення великих обсягів токенів без обмежень.

У відповідь Resolv залучила юридичних радників, зокрема Paul Hastings і Carey Olsen. Козлов сказав, що юридичні міркування тепер визначають комунікацію, обмежуючи те, що команда може публічно розкривати.

Невизначеність залишається для власників RLP

Увага також змістилася на власників токенів RLP, які за дизайном поглинули початкові збитки. Наразі викупи для RLP призупинено. Козлов визнав триваючу роботу над планом відновлення, але не надав деталей.

Незважаючи на попередні інвестиції в аудити, моніторинг і програми bug bounty, інцидент все ж стався. Козлов визнав, що ці заходи виявилися недостатніми в цьому випадку.

Поки що процес відновлення триває без визначеного таймлайну, залишаючи постраждалих користувачів у очікуванні подальших оновлень.