Humanity Protocol a identifié une machine de développeur infectée par un logiciel malveillant comme la source de la brèche de sécurité qui a conduit au vol et à la frappe non autorisée d'environ 447 millions de tokens H sur Ethereum et BNB Smart Chain.
Selon le rapport d'incident de Humanity Protocol, un attaquant a obtenu un accès root à un appareil de développeur et a récupéré sept clés privées qui avaient été sauvegardées par inadvertance lors du lancement du mainnet du projet en juin 2025.
Les clés comprenaient la clé du portefeuille chaud d'administrateur, trois clés de propriétaire Ethereum Safe et trois clés de propriétaire BSC Safe, donnant à l'attaquant l'accès à une infrastructure critique à partir d'une seule machine compromise.
Ces découvertes apportent de nouveaux détails à une attaque qui avait auparavant fait chuter H de manière drastique avant une reprise partielle. Le 10 juin, le token s'échangeait près de 0,163 $, en hausse de 23,7 % sur 24 heures, bien qu'il soit resté en baisse de 74,1 % sur la semaine précédente suite à l'exploit.
Humanity Protocol a déclaré que l'incident n'était pas dû à une faille dans ses contrats de pont, ses contrats de token ou son architecture Safe. Au lieu de cela, l'attaquant a utilisé des clés privées valides pour autoriser les transferts, les transactions Safe et les mises à niveau de contrats après avoir obtenu le contrôle des informations d'identification.
Selon le rapport, l'attaque s'est déroulée en trois actions distinctes entre le 8 et le 9 juin.
Lors de la première vague, 6,04 millions de H ont été drainés d'un portefeuille chaud d'administrateur Ethereum après la compromission de sa clé privée. De là, l'attaquant s'est tourné vers l'infrastructure de pont du protocole.
En utilisant trois clés volées d'un Safe Ethereum de six membres, l'attaquant a transféré la propriété du Bridge ProxyAdmin vers un portefeuille contrôlé par l'attaquant. Après avoir obtenu le contrôle administratif, l'attaquant a mis à niveau le pont vers une implémentation malveillante et a drainé 141,18 millions de H en une seule transaction.
Humanity Protocol a déclaré que la transaction portait les signatures nécessaires pour satisfaire les exigences de seuil du Safe, permettant à la mise à niveau d'apparaître comme une action autorisée plutôt que comme un exploit de smart contract.
Sur BNB Smart Chain, un ensemble distinct de trois clés Safe compromises a donné à l'attaquant le contrôle du ProxyAdmin du token. Après avoir déployé une implémentation malveillante, l'attaquant a exécuté trois transactions de frappe de 100 millions de H chacune, augmentant l'approvisionnement du token d'environ 141,1 millions à 441,1 millions de H.
Alors que les actifs du pont Ethereum ont été drainés, le rapport a décrit le token BSC comme irrécupérable car l'attaquant contrôle toujours le ProxyAdmin et peut continuer à frapper des tokens supplémentaires. Humanity Protocol a déclaré que l'attaquant conserve la propriété des contrats d'administration du pont et du token affectés par l'incident.
Les révélations antérieures du projet se sont concentrées sur des appareils d'employés compromis et des clés Safe volées. Les dernières découvertes médico-légales ont restreint la cause à une seule machine de développeur infectée par un logiciel malveillant qui stockait plusieurs sauvegardes sensibles. Selon le rapport, les enquêteurs estiment que les sept clés privées ont été obtenues à partir de ce seul appareil.
Plusieurs questions restent sans réponse. Humanity Protocol a déclaré n'avoir pas encore déterminé quand l'attaquant a obtenu l'accès pour la première fois, comment la machine a été compromise, ni combien de temps les informations d'identification volées ont été détenues avant que l'attaque ne soit exécutée.
En réponse à l'incident, le projet a suspendu les dépôts et les retraits via les ponts affectés, a lancé un outil de suivi public de récupération et a offert une prime de 1 million de dollars USDT pour toute information menant à la récupération des actifs. Humanity Protocol avait précédemment déclaré que tous les fonds récupérés seraient utilisés pour racheter des tokens H.
