Humanity Protocol a révélé que plus de 36 millions de dollars de tokens H ont été volés après que des attaquants ont compromis plusieurs clés administratives et pris le contrôle de l'infrastructure de pont entre Ethereum et BNB Smart Chain.
Selon la mise à jour d'incident du 9 juin de Humanity Protocol, l'attaque a eu lieu après qu'un ordinateur portable d'un employé ait été compromis, permettant à l'attaquant d'accéder aux détenteurs de clés liés aux systèmes d'administration du pont du projet.
Cette révélation complète une déclaration antérieure du fondateur et PDG de Humanity, Terence Kwok, qui avait confirmé que des clés privées appartenant à un membre de la Fondation Humanity avaient été compromises.
À l'époque, le projet avait averti les utilisateurs d'éviter le pont Humanity et les pools de liquidité associés pendant qu'une enquête était en cours.
Les détails publiés par Humanity Protocol montrent que trois des six clés de propriétaire Gnosis Safe contrôlant le ProxyAdmin du pont Hyperlane sur Ethereum ont été compromises. En utilisant ces identifiants, l'attaquant a transféré la propriété du contrat ProxyAdmin vers un portefeuille sous son contrôle, a mis à niveau le contrat de pont vers une implémentation malveillante et a déplacé environ 141,2 millions de tokens H en une seule transaction.
Sur la BNB Smart Chain, l'attaquant a compromis trois des cinq clés de propriétaire Safe et a effectué une prise de contrôle similaire du contrat ProxyAdmin du pont. Humanity Protocol a déclaré que l'attaquant a ensuite déployé un contrat malveillant contenant une fonction de frappe illimitée et a créé 200 000 005 tokens H en deux transactions distinctes.
Plus tôt le 9 juin, l'analyste on-chain Specter a signalé que plus de 17 portefeuilles connectés ou interagissant avec Humanity Protocol avaient été vidés. Les estimations initiales plaçaient les pertes à près de 19 millions de dollars avant que des traqueurs de blockchain ultérieurs n'élèvent ce chiffre au-dessus de 30 millions de dollars.
Les données de surveillance de la blockchain citées par Specter ont montré que l'attaquant a vendu une partie des tokens volés et a converti une partie des bénéfices en Ethereum. Selon la mise à jour Telegram de l'analyste, environ 23,7 millions de dollars avaient été échangés contre de l'ETH, tandis qu'environ 7,9 millions de dollars restaient en tokens H.
Une surveillance distincte de Blockaid avait suggéré que l'attaquant avait obtenu des droits d'administrateur proxy sur la BNB Smart Chain et frappé 100 millions de tokens H. Humanity Protocol n'avait pas confirmé cette affirmation à l'époque, bien que le dernier rapport d'incident confirme maintenant que l'attaquant a obtenu le contrôle administratif et frappé des H supplémentaires sur le réseau.
Dans sa dernière déclaration, Humanity Protocol a indiqué que les dépôts et retraits via les ponts affectés avaient été interrompus pendant que les efforts de réponse se poursuivaient.
Le projet a déclaré qu'il se coordonnait avec les exchanges et d'autres parties pour réduire les dommages supplémentaires. Parallèlement à une enquête interne, Humanity Protocol a également déclaré travailler avec les autorités policières afin d'enquêter sur la violation et de récupérer une partie des fonds volés.
« Nous savons que les mots ne peuvent pas réparer cela, mais nous allons être présents, vous tenir informés et travailler pour regagner la confiance que vous nous avez accordée. Nous ne partons pas et continuons à construire. »
Avant la publication de la dernière analyse technique, Kwok avait déclaré que l'équipe travaillait avec des spécialistes de la sécurité et des partenaires d'échange. Aucun plan de remboursement ni cadre de récupération n'avait été annoncé à ce stade.
La réaction du marché à l'exploit a été sévère, le token natif du protocole ayant chuté de plus de 90 % par la suite.
Source : crypto.news
Humanity Protocol opère un réseau d'identité basé sur zkEVM qui utilise des preuves à divulgation nulle de connaissance et la biométrie palmaire pour vérifier les utilisateurs sans stocker leurs informations personnelles dans des bases de données d'identité centralisées.
L'équipe a déclaré qu'un rapport post-mortem complet sera publié une fois que l'enquête aura progressé.
