Behebt das Problem beim Exploit-Update lässt wichtige Wiederherstellungsfragen zurück

• Resolv-Exploits ermöglichten das Prägen von 80 Mio. USR, wobei 98% der Rücklösungen von whitelisteierten Inhabern abgeschlossen sind.

• Nicht-whitelistierte und nach dem Exploit betroffene Nutzer müssen Verzögerungen hinnehmen, während technische und rechtliche Lösungen entwickelt werden.

• Es wurden keine Hinweise auf Insiderbeteiligung gefunden, aber die Rückzahlung für RLP-Inhaber bleibt ohne Zeitplan unsicher.

Resolv Labs hat ein frisches Update veröffentlicht, nachdem ein Exploit es einem Angreifer ermöglicht hatte, 80 Millionen USR-Token mithilfe eines kompromittierten privaten Schlüssels zu prägen. CEO Ivan Kozlov wandte sich diese Woche an die Nutzer und skizzierte den Fortschritt bei den Rücklösungen sowie laufende Untersuchungen. Der Vorfall, der erst kürzlich bekannt gemacht wurde, betrifft weiterhin mehrere Nutzergruppen, während die Bemühungen zur Wiederherstellung voranschreiten, jedoch ohne klaren Zeitplan.

Rücklösungsprozess verläuft in Phasen

Laut Resolv Labs hat das Team in der ersten Phase der Rücklösungen die whitelisteierten USR-Inhaber priorisiert. Verifizierte Wallets ermöglichten eine manuelle Bearbeitung innerhalb von 24 Stunden, was half, größere Marktverwerfungen einzudämmen. Kozlov bestätigte, dass etwa 98% dieser Rücklösungen inzwischen abgeschlossen sind.

Allerdings befinden sich nicht-whitelistierte Inhaber vor dem Exploit weiterhin in einer Warteschleife. Kozlov sagte, dass für sie derselbe 1:1-Rücklösungsanspruch gilt. Er fügte hinzu, dass die technische Lösung für diese Nutzer noch in Entwicklung ist.

Gleichzeitig stehen Inhaber nach dem Exploit, Liquiditätsanbieter und RLP-Teilnehmer vor einem komplexeren Prozess. Kozlov betonte, dass diese Fälle eine Abstimmung über rechtliche, technische und Ökosystem-Ebenen hinweg erfordern. Infolgedessen wurde keine einzelne Lösung finalisiert.

Untersuchung findet keine Hinweise auf Insider

Unterdessen haben Fragen zur Insiderbeteiligung die Aufmerksamkeit auf sich gezogen. Kozlov erklärte, dass man bislang keine Belege für Fehlverhalten von innen gefunden habe. Die Prüfung läuft weiter mit dem Cybersicherheitsunternehmen Mandiant und der Blockchain-Intelligence-Gruppe zeroShadow.

Der Angriff nutzte einen privaten Schlüssel, der an eine privilegierte Minting-Rolle gebunden war. Dieses Konto verfügte weder über einen Multisignatur-Schutz noch über ein On-Chain-Mint-Limit. Dadurch konnte der Angreifer die Erstellung großer Token-Mengen ohne Einschränkungen autorisieren.

Als Reaktion hat Resolv juristische Berater eingebunden, darunter Paul Hastings und Carey Olsen. Kozlov sagte, dass rechtliche Erwägungen nun die Kommunikation bestimmen und dadurch begrenzen, was das Team öffentlich offenlegen kann.

Ungewissheit bleibt für RLP-Inhaber

Die Aufmerksamkeit hat sich außerdem auf RLP-Token-Inhaber verlagert, die die anfänglichen Verluste aufgrund des Designs hinnehmen mussten. Aktuell sind Rücklösungen für RLP angehalten. Kozlov räumte laufende Arbeiten an einem Wiederherstellungsplan ein, lieferte jedoch keine Details.

Trotz früherer Investitionen in Audits, Monitoring und Bug-Bounty-Programme ist der Vorfall dennoch eingetreten. Kozlov gab zu, dass diese Maßnahmen in diesem Fall nicht ausreichten.

Vorerst läuft der Wiederherstellungsprozess ohne festgelegten Zeitplan weiter, sodass die betroffenen Nutzer auf weitere Updates warten.