Kinilala ng Humanity Protocol ang isang kompyuter ng developer na nahawaan ng malware bilang pinagmulan ng paglabag sa seguridad na humantong sa pagnanakaw at hindi awtorisadong pag-mint ng humigit-kumulang 447 milyong H token sa buong Ethereum at BNB Smart Chain.
Ayon sa ulat ng insidente ng Humanity Protocol, isang umaatake ang nakakuha ng root access sa isang aparato ng developer at nakuha ang pitong private keys na hindi sinasadyang na-backup sa panahon ng paglulunsad ng mainnet ng proyekto noong Hunyo 2025.
Kabilang sa mga key ang admin hot wallet key, tatlong Ethereum Safe owner key, at tatlong BSC Safe owner key, na nagbigay sa umaatake ng access sa kritikal na imprastraktura mula sa iisang nakompromisong makina.
Ang mga natuklasan ay nagdaragdag ng mga bagong detalye sa isang pag-atake na dati nang nagdulot ng matinding pagbaba sa H bago ito bahagyang nakabangon. Noong Hunyo 10, ang token ay ipinagpalit malapit sa $0.163, tumaas ng 23.7% sa loob ng 24 oras, bagaman nanatili itong bumaba ng 74.1% sa nakaraang linggo kasunod ng exploit.
Sinabi ng Humanity Protocol na ang insidente ay hindi sanhi ng isang kapintasan sa mga kontrata ng bridge nito, mga kontrata ng token, o arkitektura ng Safe. Sa halip, ginamit ng umaatake ang mga balidong private keys upang pahintulutan ang mga paglilipat, mga transaksyon sa Safe, at mga upgrade ng kontrata matapos makuha ang kontrol sa mga kredensyal.
Batay sa ulat, ang pag-atake ay naganap sa tatlong magkahiwalay na aksyon sa pagitan ng Hunyo 8 at Hunyo 9.
Sa unang yugto, 6.04 milyong H ang naubos mula sa isang Ethereum admin hot wallet matapos makompromiso ang private key nito. Mula doon, kumilos ang umaatake laban sa imprastraktura ng bridge ng protocol.
Gamit ang tatlong ninakaw na key mula sa isang anim na miyembrong Ethereum Safe, inilipat ng umaatake ang pagmamay-ari ng Bridge ProxyAdmin sa isang wallet na kontrolado ng umaatake. Matapos makuha ang kontrol sa pangangasiwa, in-upgrade ng umaatake ang bridge sa isang malisyosong implementasyon at naubos ang 141.18 milyong H sa isang transaksyon.
Sinabi ng Humanity Protocol na dala ng transaksyon ang mga lagda na kinakailangan upang matugunan ang mga kinakailangan sa threshold ng Safe, na nagpapahintulot sa pag-upgrade na lumitaw bilang isang awtorisadong aksyon sa halip na isang smart contract exploit.
Sa BNB Smart Chain, isang hiwalay na hanay ng tatlong nakompromisong Safe keys ang nagbigay sa umaatake ng kontrol sa ProxyAdmin ng token. Matapos mag-deploy ng malisyosong implementasyon, nagsagawa ang umaatake ng tatlong mint transaction ng 100 milyong H bawat isa, na nagpapataas ng supply ng token mula sa humigit-kumulang 141.1 milyon tungo sa 441.1 milyong H.
Habang naubos ang mga asset ng Ethereum bridge, inilarawan ng ulat ang BSC token bilang hindi na mababawi dahil kontrolado pa rin ng umaatake ang ProxyAdmin at maaaring magpatuloy sa pag-mint ng karagdagang mga token. Sinabi ng Humanity Protocol na nananatili ang pagmamay-ari ng umaatake sa bridge at mga kontrata ng pangangasiwa ng token na apektado sa insidente.
Ang mga naunang pagbubunyag mula sa proyekto ay nakatuon sa nakompromisong aparato ng empleyado at ninakaw na Safe keys. Ang pinakabagong forensic na natuklasan ay binawasan ang dahilan sa isang kompyuter ng developer na nahawaan ng malware na nag-imbak ng maraming sensitibong backup. Ayon sa ulat, naniniwala ang mga imbestigador na ang lahat ng pitong private keys ay nakuha mula sa iisang aparato.
Maraming tanong ang nananatiling hindi nasasagot. Sinabi ng Humanity Protocol na hindi pa nito natutukoy kung kailan unang nakakuha ng access ang umaatake, paano nakompromiso ang makina, o gaano katagal hinawakan ang ninakaw na mga kredensyal bago isinagawa ang pag-atake.
Bilang tugon sa insidente, pinahinto ng proyekto ang mga deposito at withdrawal sa pamamagitan ng mga apektadong bridge, naglabas ng pampublikong recovery tracker, at nag-alok ng $1 milyon USDT na bounty para sa impormasyon na humahantong sa pagbawi ng asset. Dati nang sinabi ng Humanity Protocol na ang anumang nabawing pondo ay gagamitin upang bilhin muli ang mga H token.
