Resolv 协议安全事件复盘

事件开场白与摘要

2026 年 3 月 22 日，Resolv 的链下基础设施遭到了来自协议边界外的多阶段攻击。攻击者获得了协议链上服务所使用的签名基础设施的未经授权访问权限，并通过 Counter 智能合约执行了两笔非法交易，铸造了 8000 万个 USR，并提取了价值约 2500 万美元的 ETH。

根据目前的调查，我们认为漏洞已被遏制：攻击向量已消除，所有已识别的受损凭证已撤销，协议的大部分操作已暂停。

非法铸造的供应量中，约 4600 万 USR 已通过直接销毁和部署黑名单功能被中和。目前，我们正与法律顾问及区块链取证团队协调进行活跃的链上调查，并已通知相关部门。

黑客攻击前的 USR 持有者将获得 1:1 的补偿，大部分兑换已在处理中。Resolv 正在进一步评估更广泛的影响及后续路径，具体沟通方案即将发布。

外部取证调查正由 Hypernative、Hexens、MixBytes 和 SEAL 911 等安全公司协助进行。此外，我们还计划与领先的网安公司（Mandiant）、区块链情报机构（ZeroShadow）等进一步开展调查与评估，以增强未来重建基础设施的信心。本文档基于目前可用的证据，记录了事件经过、我们的响应、经验教训以及未来采取的行动。

Resolv 的运作机制

Resolv 是一个围绕稳定币 USR 构建的 DeFi 协议。与 USDC 或 USDT 等法币抵押稳定币不同，USR 由加密原生抵押品（包括 ETH、BTC、代币化现实世界资产及部分山寨币）支持，通过 delta 中性策略维持其美元锚定。收益来源于质押奖励和永续合约资金费率的组合，并通过 stUSR 或 wstUSR 传递给持有者。

协议采用两层风险架构：USR 代表高级档（低风险、稳定收益）；Resolv 流动性池（RLP）作为协议的专用保险和风险吸收层，RLP 持有者承担更高风险以换取更高预期回报。

铸造 USR 的无需许可方式之一是通过 Counter 合约，该合约采用两步流程：

1. 用户通过存入抵押品提交链上铸造请求。
2. 授权的链下服务通过确认铸造参数并最终确定 USR 发行量来完成操作。 这两个步骤均在代币铸造前完成。抵押品由多家托管机构和顶级安全提供商管理，通过场外结算减少直接的交易所对手方风险。

攻击叙事：事件经过

此次攻击并非单一漏洞利用，而是一个跨越多个组织和基础设施层的多阶段事件。

阶段 1：初始入侵（Resolv 边界外）

根据目前掌握的信息，攻击链起源于一个第三方项目，Resolv 的一名承包商此前曾为该项目做出贡献。当该第三方项目受损时，攻击者获得了一个具有广泛权限的凭证。由于该凭证与承包商的 GitHub 账号关联，它为攻击者提供了进入 Resolv 代码库的初始立足点。

阶段 2：基础设施内的横向移动

攻击者利用受损凭证获得了对 Resolv 部分 GitHub 仓库的访问权限，并建立了存在感。随后，他们部署了一个恶意的 workflow，旨在窃取敏感凭证，且不触发出站网络流量检测。

在提取凭证后，攻击者删除了自己在仓库中的访问权限，以尽量减少取证足迹。提取的凭证提供了进入 Resolv 云基础设施的权限。在接下来的几天里，攻击者进行了侦察，枚举服务并尝试提取第三方集成的 API 密钥。

阶段 3：执行与链上影响

攻击者的目标是获得对加密密钥的签名授权，该密钥由协议授权的链下服务用于完成铸造操作。

攻击者最初尝试访问签名密钥时被现有的访问控制策略阻止。在找到成功路径之前，多次不同的提权尝试均被拒绝。最终，他们没有继续寻找具有预设签名权限的角色，而是利用一个更高权限角色的策略管理功能，直接修改了密钥的访问策略，从而为自己授予了签名权限。

• 第一笔非法交易：执行于 UTC 时间 02:21:35（0xfe37f25...fc33743），通过 Counter 合约铸造了 5000 万 USR。
• 在接下来的约 80 分钟内，攻击者开始通过数百次 DEX 兑换将铸造的 USR 转换为 ETH，同时操作多个钱包。
• 第二笔非法交易：执行于 UTC 时间 03:41（0x41b6b93...db1f18f），额外铸造了 3000 万 USR。

攻击者继续快速将代币兑换为 ETH，总计提取了约 2500 万美元的价值。云基础设施上的异常活动迹象促使团队撤销了所有已识别的受损凭证，切断了攻击者的访问并终止了活跃威胁。

检测、响应与遏制

协议的实时威胁监控检测到了第一笔异常交易并发出警报。在初始攻击发生后约一小时内，团队开始响应，准备暂停合约、停止链下基础设施并撤销凭证。

由于攻击涉及基础设施层面的未经授权访问，响应工作需要先确定攻击向量及攻击者如何获得签名权，然后才能执行有效的遏制。

团队采取了分层遏制方法：

1. 首先停止后端服务，降低铸造和销毁操作的风险。
2. UTC 05:16，所有具有暂停功能的链上智能合约被全面暂停。
3. UTC 05:30，撤销受损凭证，完全切断攻击者对云环境的访问。

取证日志确认攻击者直到 05:15 仍在活动，这意味着遏制行动成功终止了正在进行的威胁。随后，团队执行了链上恢复行动：在要求的限制期后，通过直接销毁和部署黑名单功能，中和了 8000 万非法铸造 USR 中的约 4600 万。

根本原因分析

此次攻击并非单一漏洞所致，而是攻击者发现并串联了一系列分散的安全漏洞。

1. 外部凭证泄露：攻击源于 Resolv 基础设施之外。承包商 GitHub 账号关联的第三方项目凭证提供了初始入口。
2. GitHub 仓库设置缺陷：攻击者利用仓库设置部署恶意 workflow 提取凭证。虽然生产分支有手动审批保护，无法直接部署恶意代码，但凭证提取路径依然畅通。
3. 云基础设施侦察：攻击者利用提取的凭证在云环境中进行服务枚举和 API 密钥窃取尝试。
4. 权限管理与提权：云基础设施的密钥管理服务需要身份权限和密钥策略双重对齐。攻击者最终通过一个高权限角色修改了密钥策略本身，绕过了限制。
5. 缺乏链上约束：一旦获得签名权，链上并没有独立的机制来约束铸造操作。协议依赖链下控制来确保铸造量与抵押品匹配，导致基础设施失守直接转化为链上损失。

补救措施：已采取及计划中的行动

为了保护内部基础设施，部分安全增强细节不予公开。

紧急遏制（事件发生后数小时内）：

• 撤销并轮换所有基础设施服务的受损凭证（CI/CD、云 API、交易所集成、VPN 等）。
• 暂停所有相关智能合约。
• 禁止 GitHub 组织内的个人访问Token（PAT）。

链上恢复：

• 通过直接销毁和黑名单功能中和了约 4600 万非法 USR。

正在进行及计划中（重启前完成）：

• 将 CI/CD 凭证替换为基于 OIDC 的身份验证，重构权限以确保签名操作无法通过 CI/CD 凭证链触达。
• 实施链上铸造上限和基于预言机的价格验证。
• 部署连接到实时监控的自动紧急暂停机制。
• 增强基础设施访问模式的异常检测。
• 实施更严格的 GitHub 组织权限并进行全面的外部安全审查。

对用户的影响及后续路径

• 补偿方案：黑客攻击前的 USR 持有者将获得 1:1 补偿。大部分兑换已在处理或排队中。
• 协议状态：大部分操作仍处于暂停状态。目前的优先级是安全管理抵押品池、处理符合条件的兑换，以及完成安全调查和基础设施修复。

链上调查与资金追回

目前已中和 4600 万非法 USR，对其余部分的调查仍在继续。我们正与法律顾问、区块链取证团队和分析公司合作，追踪被盗资金并识别攻击者。主要交易所和资产发行商已获通知并正在配合。为了不影响追回工作，目前不披露详细的追踪结果。任何追回的资金都将纳入最终解决方案。

更广泛的行业教训

1. 跨组织凭证的供应链风险：开发者参与多个项目时，未撤销或权限过大的凭证可能成为隔离安全边界之间的桥梁。
2. CI/CD 工作流作为攻击面：利用 CI/CD 提取凭证且不触发流量检测是一种日益严重的攻击类型。
3. 链上防护作为深度防御层：过度依赖链下控制是系统性风险。高价值操作应具备独立的链上限制（如每笔/每期上限、预言机验证）。
4. 自动化响应能力：紧急暂停不应完全依赖压力下的人工协调。监控系统应能触发自动暂停。

致谢

感谢以下团队和个人在响应与恢复中的贡献：

• Hexens：基础设施取证与攻击者画像。
• MixBytes：对恢复过程中部署的合约升级进行快速审计。
• SEAL 911：紧急协调与响应支持。
• Hypernative：实时威胁检测、监控及主动协作。

同时感谢在响应期间迅速协调的 DeFi 协议、集成伙伴以及提供独立分析的社区安全研究员。

• 原文链接： x.com/resolvlabs/status/...
• 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～