Perbarui Eksploit yang Terpecahkan Meninggalkan Pertanyaan Pemulihan Kunci

• Eksploit Resolv diizinkan untuk pencetakan (minting) 80M USR, dengan 98% penebusan (redemption) pemegang yang di-whitelist telah selesai.

• Pengguna non-whitelist dan pasca-eksploit menghadapi penundaan saat solusi teknis dan hukum dikembangkan.

• Tidak ditemukan bukti adanya orang dalam, tetapi pemulihan untuk pemegang RLP tetap belum pasti tanpa timeline.

Resolv Labs telah merilis pembaruan terbaru setelah sebuah eksploit memungkinkan penyerang mencetak 80 juta token USR menggunakan kunci privat yang dibobol. CEO Ivan Kozlov menanggapi pengguna minggu ini, menguraikan progres penebusan dan investigasi yang sedang berlangsung. Insiden ini, pertama kali diungkap baru-baru ini, terus memengaruhi beberapa kelompok pengguna saat upaya pemulihan berjalan tanpa timeline yang jelas.

Proses Penebusan Berjalan dalam Tahapan

Menurut Resolv Labs, tim memprioritaskan pemegang USR yang di-whitelist selama fase pertama penebusan. Dompet terverifikasi memungkinkan pemrosesan manual dalam 24 jam, membantu membatasi gangguan pasar yang lebih luas. Kozlov mengonfirmasi bahwa sekitar 98% penebusan tersebut kini telah selesai.

Namun, pemegang pra-eksploit yang tidak di-whitelist masih berada dalam fase menunggu. Kozlov mengatakan komitmen penebusan 1:1 yang sama berlaku untuk mereka. Ia menambahkan bahwa solusi teknis untuk pengguna ini masih dalam pengembangan.

Pada saat yang sama, pemegang pasca-eksploit, penyedia likuiditas, dan peserta RLP menghadapi proses yang lebih kompleks. Kozlov mencatat bahwa kasus-kasus ini memerlukan koordinasi di lintas lapisan hukum, teknis, dan ekosistem. Akibatnya, tidak ada satu solusi pun yang telah dimuktamadkan.

Investigasi Menemukan Tidak Ada Bukti Orang Dalam

Sementara itu, pertanyaan mengenai keterlibatan orang dalam telah menarik perhatian. Kozlov menyatakan bahwa, sejauh ini, investigasi belum menemukan bukti adanya pelanggaran dari pihak internal. Penelusuran berlanjut bersama perusahaan keamanan siber Mandiant dan kelompok intelijen blockchain zeroShadow.

Serangan itu memanfaatkan kunci privat yang terkait dengan peran pencetakan (minting) istimewa. Akun ini tidak memiliki perlindungan multisignature dan tidak memiliki batas (cap) minting di rantai (on-chain). Akibatnya, penyerang dapat mengotorisasi penciptaan token dalam jumlah besar tanpa batasan.

Sebagai respons, Resolv telah melibatkan penasihat hukum, termasuk Paul Hastings dan Carey Olsen. Kozlov mengatakan pertimbangan hukum kini membentuk komunikasi, sehingga membatasi apa yang tim dapat ungkap secara publik.

Ketidakpastian Masih Menyasar Pemegang RLP

Perhatian juga telah bergeser ke pemegang token RLP, yang menanggung kerugian awal berdasarkan desain. Saat ini, penebusan untuk RLP masih dihentikan sementara (paused). Kozlov mengakui adanya pekerjaan berkelanjutan pada rencana pemulihan, tetapi tidak memberikan rincian.

Meskipun ada investasi sebelumnya dalam audit, pemantauan, dan program bug bounty, insiden ini tetap terjadi. Kozlov mengakui langkah-langkah tersebut terbukti tidak memadai dalam kasus ini.

Untuk saat ini, proses pemulihan terus berjalan tanpa timeline yang ditetapkan, sehingga pengguna yang terdampak menunggu pembaruan lebih lanjut.