Inihayag ng Humanity Protocol na mahigit $36 milyon halaga ng H token ang nanakaw matapos makompromiso ng mga umaatake ang maraming administrative key at makuha ang kontrol sa imprastraktura ng bridge sa buong Ethereum at BNB Smart Chain.
Ayon sa update ng Humanity Protocol noong Hunyo 9 tungkol sa insidente, nagmula ang pag-atake matapos makompromiso ang laptop ng isang empleyado, na nagpahintulot sa umaatake na makakuha ng access sa mga may hawak ng key na konektado sa mga sistema ng administrasyon ng bridge ng proyekto.
Ang pagbubunyag ay pagpapalawig sa naunang pahayag mula sa founder at CEO ng Humanity na si Terence Kwok, na nagkumpirma na ang mga private key na pagmamay-ari ng isang miyembro ng Humanity Foundation ay nakompromiso.
Noong panahong iyon, binalaan ng proyekto ang mga user na iwasan ang Humanity bridge at ang mga kaugnay na liquidity pool habang isinasagawa ang imbestigasyon.
Ang mga detalyeng inilabas ng Humanity Protocol ay nagpapakita na tatlo sa anim na Gnosis Safe owner key na kumokontrol sa Hyperlane bridge ProxyAdmin sa Ethereum ay nakompromiso. Gamit ang mga kredensyal na iyon, inilipat ng umaatake ang pagmamay-ari ng ProxyAdmin contract sa isang wallet na kontrolado nila, in-upgrade ang bridge contract sa isang malisyosong implementasyon, at inilipat ang humigit-kumulang 141.2 milyong H token sa isang transaksyon.
Sa BNB Smart Chain, nakompromiso ng umaatake ang tatlo sa limang Safe owner key at nagsagawa ng katulad na pagkuha ng kontrol sa ProxyAdmin contract ng bridge. Sinabi ng Humanity Protocol na idineploy ng umaatake ang isang malisyosong kontrata na naglalaman ng walang limitasyong mint function at lumikha ng 200,000,005 H token sa dalawang magkahiwalay na transaksyon.
Mas maaga noong Hunyo 9, iniulat ng on-chain analyst na si Specter na mahigit 17 wallet na konektado o nakikipag-ugnayan sa Humanity Protocol ang na-drain. Ang mga paunang pagtatantya ay naglagay ng pagkalugi malapit sa $19 milyon bago itinaas ng mga blockchain tracker ang halaga sa itaas ng $30 milyon.
Ipinakita ng data ng pagsubaybay sa blockchain na binanggit ni Specter na ibinenta ng umaatake ang bahagi ng mga ninakaw na token at binago ang bahagi ng pinagbentahan sa Ethereum. Ayon sa update ng analyst sa Telegram, humigit-kumulang $23.7 milyon ang na-swap sa ETH, habang humigit-kumulang $7.9 milyon ang nanatili sa mga H token.
Ang hiwalay na pagsubaybay mula sa Blockaid ay nagmungkahi na nakuha ng umaatake ang proxy administrator rights sa BNB Smart Chain at nag-mint ng 100 milyong H token. Hindi pa nakumpirma ng Humanity Protocol ang pahayag na iyon noong panahong iyon, bagaman kinumpirma na ngayon ng pinakabagong ulat ng insidente na nakuha ng umaatake ang kontrol sa administrasyon at nag-mint ng karagdagang H sa network.
Sa pinakabagong pahayag nito, sinabi ng Humanity Protocol na ang mga deposito at withdrawals sa pamamagitan ng mga apektadong bridge ay itinigil habang nagpapatuloy ang mga pagsisikap sa pagtugon.
Sinabi ng proyekto na nakikipag-ugnayan ito sa mga palitan at iba pang partido upang mabawasan ang karagdagang pinsala. Kasabay ng isang panloob na imbestigasyon, sinabi ng Humanity Protocol na nakikipagtulungan din ito sa mga awtoridad ng pulisya sa pagsisikap na imbestigahan ang paglabag at mabawi ang ilan sa mga ninakaw na pondo.
“Alam naming hindi maitatama ng mga salita ito, ngunit kami ay magpapakita, pananatilihin kayong updated, at gagawin ang lahat upang mabawi ang tiwalang ibinigay ninyo sa amin. Hindi kami aalis at patuloy pa rin kaming magtatayo.”
Bago pa man mailathala ang pinakabagong teknikal na pagpapaliwanag, sinabi ni Kwok na ang koponan ay nakikipagtulungan sa mga espesyalista sa seguridad at mga kasosyo sa palitan. Walang plano ng pagbabayad o balangkas ng pagbawi ang naipahayag sa yugtong iyon.
Naging matindi ang reaksyon ng merkado sa exploit, kung saan ang katutubong token ng protocol ay bumaba ng higit sa 90% kasunod ng pangyayari.
Pinagmulan: crypto.news
Ang Humanity Protocol ay nagpapatakbo ng isang zkEVM-based identity network na gumagamit ng zero-knowledge proofs at palm biometrics upang beripikahin ang mga user nang hindi iniimbak ang kanilang personal na impormasyon sa mga sentralisadong database ng pagkakakilanlan.
Sinabi ng koponan na isang buong post-mortem report ang ilalabas kapag umusad pa ang imbestigasyon.
