Résoudre l’exploit : mise à jour qui laisse des questions de récupération de clé

• Resolv a permis des exploits autorisant l’émission de 80M USR, avec 98 % des rachats des détenteurs figurant sur la liste blanche terminés.

• Les utilisateurs non figurant sur la liste blanche et ceux qui sont apparus après l’exploit font face à des retards, alors que des solutions techniques et juridiques se développent.

• Aucune preuve d’initié n’a été trouvée, mais la récupération pour les détenteurs de RLP reste incertaine sans calendrier.

Resolv Labs a publié une mise à jour récente après qu’un exploit a permis à un attaquant d’émettre 80 millions de tokens USR à l’aide d’une clé privée compromise. Le PDG Ivan Kozlov s’est adressé aux utilisateurs cette semaine, exposant l’avancement des rachats et les enquêtes en cours. L’incident, d’abord divulgué récemment, continue d’affecter plusieurs groupes d’utilisateurs tandis que les efforts de récupération progressent sans calendrier clair.

Le processus de rachat avance par phases

Selon Resolv Labs, l’équipe a donné la priorité, pendant la première phase des rachats, aux détenteurs d’USR figurant sur la liste blanche. Des portefeuilles vérifiés ont permis un traitement manuel dans les 24 heures, contribuant à limiter les perturbations plus larges du marché. Kozlov a confirmé qu’environ 98 % de ces rachats sont désormais terminés.

Cependant, les détenteurs non figurant sur la liste blanche avant l’exploit restent dans une phase d’attente. Kozlov a déclaré que la même promesse de rachat 1:1 s’applique à eux. Il a ajouté que la solution technique pour ces utilisateurs est toujours en développement.

Parallèlement, les détenteurs post-exploit, les fournisseurs de liquidité et les participants à RLP font face à un processus plus complexe. Kozlov a noté que ces cas nécessitent une coordination entre les volets juridiques, techniques et ceux de l’écosystème. En conséquence, aucune solution unique n’a été finalisée.

L’enquête ne trouve aucune preuve d’un initié

Pendant ce temps, les questions concernant une implication d’initié ont attiré l’attention. Kozlov a déclaré qu’à ce jour, les enquêtes n’ont pas trouvé de preuves de fautes internes. L’investigation se poursuit avec la société de cybersécurité Mandiant et le groupe d’intelligence blockchain zeroShadow.

L’attaque a exploité une clé privée liée à un rôle privilégié d’émission. Ce compte ne disposait pas de protection multi-signatures et n’avait aucune limite d’émission (cap) définie on-chain. En conséquence, l’attaquant pouvait autoriser la création de tokens à grande échelle sans contraintes.

En réponse, Resolv a fait appel à des conseillers juridiques, notamment Paul Hastings et Carey Olsen. Kozlov a déclaré que les considérations juridiques déterminent désormais la communication, limitant ce que l’équipe peut divulguer publiquement.

L’incertitude demeure pour les détenteurs de RLP

L’attention s’est également déplacée vers les détenteurs du token RLP, qui ont absorbé des pertes initiales par conception. À l’heure actuelle, les rachats pour RLP restent suspendus. Kozlov a reconnu des travaux en cours sur un plan de récupération, mais n’a pas fourni de détails.

Malgré des investissements antérieurs dans des audits, la surveillance et des programmes de bug bounty, l’incident s’est tout de même produit. Kozlov a admis que ces mesures s’étaient révélées insuffisantes dans ce cas.

Pour l’instant, le processus de récupération se poursuit sans calendrier défini, laissant les utilisateurs concernés dans l’attente d’autres mises à jour.