Behebt Exploit-Update lässt Schlüsselerhaltungsfragen zurück

• Resolv-Exploits ermöglichten 80 Mio. USR-Emissionen, wobei 98% der Rückkäufe von gelisteten Inhabern abgeschlossen sind.

• Nicht gelistete und Nutzer nach dem Exploit müssen Verzögerungen in Kauf nehmen, während technische und rechtliche Lösungen ausgearbeitet werden.

• Es wurden keine Hinweise auf Insiderbeteiligung gefunden, aber die Rückerstattung für RLP-Inhaber bleibt ohne Zeitplan ungewiss.

Resolv Labs hat ein frisches Update herausgegeben, nachdem ein Exploit es einem Angreifer ermöglicht hatte, 80 Millionen USR-Token mithilfe eines kompromittierten privaten Schlüssels zu prägen. CEO Ivan Kozlov sprach diese Woche mit den Nutzern und skizzierte den Stand der Rückkäufe sowie laufende Untersuchungen. Der Vorfall, der kürzlich erstmals offengelegt wurde, betrifft weiterhin mehrere Nutzergruppen, während sich die Wiederherstellungsbemühungen fortsetzen – ohne klaren Zeitplan.

Rückkaufsprozess schreitet in Phasen voran

Laut Resolv Labs hat das Team in der ersten Phase der Rückkäufe priorisiert, gelistete USR-Inhaber zu berücksichtigen. Verifizierte Wallets erlaubten eine manuelle Abwicklung innerhalb von 24 Stunden, was dazu beitrug, größere Markteinbrüche zu begrenzen. Kozlov bestätigte, dass etwa 98% dieser Rückkäufe inzwischen abgeschlossen sind.

Allerdings befinden sich nicht gelistete Inhaber vor dem Exploit weiterhin in einer Wartephase. Kozlov sagte, dass auch für sie die gleiche 1:1-Rückkaufzusage gilt. Er fügte hinzu, dass die technische Lösung für diese Nutzer noch in Entwicklung ist.

Parallel dazu steht Inhabern nach dem Exploit, Liquiditätsanbietern und RLP-Teilnehmern ein weitaus komplexerer Prozess bevor. Kozlov merkte an, dass diese Fälle eine Abstimmung über rechtliche, technische und Ökosystem-Schichten hinweg erfordern. Infolgedessen wurde noch keine einzelne Lösung finalisiert.

Untersuchung findet keine Hinweise auf Insiderbeteiligung

In der Zwischenzeit haben Fragen zur Beteiligung von Insidern Aufmerksamkeit auf sich gezogen. Kozlov erklärte, dass die Untersuchungen bislang keine Beweise für Fehlverhalten innerhalb des Unternehmens gefunden haben. Die Prüfung läuft weiter – mit dem Cybersicherheitsunternehmen Mandiant und der Blockchain-Intelligence-Gruppe zeroShadow.

Der Angriff nutzte einen privaten Schlüssel, der mit einer privilegierten Minting-Rolle verknüpft war. Dieses Konto verfügte nicht über Schutz durch Multisignaturen und hatte kein On-Chain-Mint-Limit. Dadurch konnte der Angreifer die Erstellung großer Token-Mengen ohne Beschränkungen autorisieren.

Als Reaktion hat Resolv juristische Berater hinzugezogen, darunter Paul Hastings und Carey Olsen. Kozlov sagte, dass rechtliche Erwägungen die Kommunikation nun prägen und dadurch einschränken, was das Team öffentlich offenlegen kann.

Ungewissheit bleibt für RLP-Inhaber

Auch der Fokus hat sich inzwischen auf RLP-Token-Inhaber verlagert, die die anfänglichen Verluste durch das Design bereits hinnehmen mussten. Derzeit sind Rückkäufe für RLP ausgesetzt. Kozlov räumte laufende Arbeiten an einem Wiederherstellungsplan ein, lieferte jedoch keine Details.

Trotz früherer Investitionen in Audits, Monitoring und Bug-Bounty-Programme ist der Vorfall dennoch eingetreten. Kozlov gab zu, dass sich diese Maßnahmen in diesem Fall als unzureichend erwiesen.

Für jetzt läuft der Wiederherstellungsprozess weiter – ohne festgelegten Zeitrahmen. Das lässt die betroffenen Nutzer auf weitere Updates warten.