Humanity Protocol ha revelado que se han robado más de 36 millones de dólares en tokens H después de que los atacantes comprometieran múltiples claves administrativas y tomaran el control de la infraestructura de puentes a través de Ethereum y BNB Smart Chain.
Según la actualización del incidente del 9 de junio de Humanity Protocol, el ataque se originó después de que la computadora portátil de un empleado fuera comprometida, permitiendo al atacante obtener acceso a los poseedores de claves vinculados a los sistemas de administración del puente del proyecto.
La divulgación amplía una declaración anterior del fundador y CEO de Humanity, Terence Kwok, quien había confirmado que las claves privadas pertenecientes a un miembro de la Fundación Humanity fueron comprometidas.
En ese momento, el proyecto advirtió a los usuarios que evitaran el puente de Humanity y los grupos de liquidez relacionados mientras una investigación estaba en curso.
Los detalles publicados por Humanity Protocol muestran que tres de las seis claves de propietario de Gnosis Safe que controlan el ProxyAdmin del puente Hyperlane en Ethereum fueron comprometidas. Usando esas credenciales, el atacante transfirió la propiedad del contrato ProxyAdmin a una billetera bajo su control, actualizó el contrato del puente a una implementación maliciosa y movió aproximadamente 141.2 millones de tokens H en una sola transacción.
En BNB Smart Chain, el atacante comprometió tres de las cinco claves de propietario de Safe y llevó a cabo una toma de control similar del contrato ProxyAdmin del puente. Humanity Protocol dijo que el atacante luego desplegó un contrato malicioso que contenía una función de acuñación ilimitada y creó 200,000,005 tokens H en dos transacciones separadas.
Anteriormente, el 9 de junio, el analista on-chain Specter informó que más de 17 billeteras conectadas o que interactuaban con Humanity Protocol habían sido vaciadas. Las estimaciones iniciales situaron las pérdidas cerca de los 19 millones de dólares antes de que rastreadores de blockchain posteriores elevaran la cifra por encima de los 30 millones de dólares.
Los datos de monitoreo de blockchain citados por Specter mostraron que el atacante vendió una porción de los tokens robados y convirtió parte de las ganancias a Ethereum. Según la actualización de Telegram del analista, aproximadamente 23.7 millones de dólares habían sido intercambiados por ETH, mientras que alrededor de 7.9 millones de dólares permanecían en tokens H.
Un monitoreo separado de Blockaid había sugerido que el atacante obtuvo derechos de administrador de proxy en BNB Smart Chain y acuñó 100 millones de tokens H. Humanity Protocol no había confirmado esa afirmación en ese momento, aunque el último informe del incidente ahora confirma que el atacante obtuvo el control administrativo y acuñó H adicionales en la red.
En su última declaración, Humanity Protocol dijo que los depósitos y retiros a través de los puentes afectados han sido detenidos mientras continúan los esfuerzos de respuesta.
El proyecto dijo que está coordinando con intercambios y otras partes para reducir daños mayores. Junto con una investigación interna, Humanity Protocol dijo que también está trabajando con las autoridades policiales en un esfuerzo por investigar la brecha y recuperar parte de los fondos robados.
“Sabemos que las palabras no pueden solucionar esto, pero vamos a presentarnos, mantenerlos informados y trabajar para recuperar la confianza que depositaron en nosotros. No nos vamos a ir a ningún lado y seguimos construyendo.”
Antes de que se publicara el último desglose técnico, Kwok dijo que el equipo estaba trabajando con especialistas en seguridad y socios de intercambio. En esa etapa no se había anunciado ningún plan de reembolso o marco de recuperación.
La reacción del mercado al exploit fue severa, con el token nativo del protocolo cayendo más del 90% tras el suceso.
Fuente: crypto.news
Humanity Protocol opera una red de identidad basada en zkEVM que utiliza pruebas de conocimiento cero y biometría de palma para verificar a los usuarios sin almacenar su información personal en bases de datos de identidad centralizadas.
El equipo dijo que se publicará un informe post-mortem completo una vez que la investigación avance más.
