修复漏洞更新后仍保留密钥恢复问题

• Resolv 允许的漏洞利用可进行 8000 万 USR 铸造，并且已完成白名单持有人赎回的 98%。

• 非白名单用户以及漏洞利用之后的用户在技术和法律解决方案逐步形成过程中面临延迟。

• 未发现内幕证据，但在没有时间表的情况下，RLP 持有者的回收仍不确定。

Resolv Labs 在一次漏洞利用允许攻击者使用被泄露的私钥铸造 8000 万 USR 代币之后，发布了最新更新。本周，CEO Ivan Kozlov 就此事向用户发声，概述了赎回进展并介绍了正在进行的调查。该事件此前近期首次披露，随着救援工作推进但缺乏明确时间表，继续影响多个用户群体。

赎回流程分阶段推进

据 Resolv Labs 称，团队在赎回的第一阶段优先处理白名单 USR 持有人。经验证的钱包在 24 小时内允许进行人工处理，从而有助于限制更广泛的市场冲击。Kozlov 证实，这些赎回中大约 98% 目前已经完成。

不过，非白名单的漏洞利用前持有人仍处于等待阶段。Kozlov 表示，对他们同样适用 1:1 的赎回承诺。他补充说，这些用户所需的技术解决方案仍在开发中。

与此同时，漏洞利用后的持有人、流动性提供者以及 RLP 参与者面临更复杂的流程。Kozlov 指出，这些案例需要在法律、技术和生态系统层面进行协调。因此，目前尚未敲定任何单一解决方案。

调查未发现内幕证据

与此同时，外界对内幕是否参与的疑问也引起了关注。Kozlov 表示，截至目前，调查未发现内部不当行为的证据。该调查继续与网络安全公司 Mandiant 以及区块链情报机构 zeroShadow 合作进行。

此次攻击利用了与特权铸造角色相关的私钥。该账户缺乏多重签名保护，并且链上没有铸造上限。结果是，攻击者可以在不受约束的情况下授权大规模代币创建。

作为回应，Resolv 已聘请法律顾问，包括 Paul Hastings 和 Carey Olsen。Kozlov 表示，当前的法律考量正在影响沟通方式，从而限制团队能够向公众披露的内容。

RLP 持有者的不确定性仍在

关注点也转向了 RLP 代币持有者，他们通过设计吸收了初期损失。目前，RLP 的赎回仍暂停。Kozlov 承认仍在推进一项恢复计划，但未提供细节。

尽管此前已投入审计、监控和漏洞赏金计划，这次事件依然发生。Kozlov 承认，这些措施在此案中被证明不足。

目前，恢复流程仍在没有明确时间表的情况下继续推进，这让受影响用户只能等待进一步更新。