Humanity Protocol telah mengidentifikasi mesin pengembang yang terinfeksi malware sebagai sumber pelanggaran keamanan yang menyebabkan pencurian dan pencetakan (minting) tidak sah sekitar 447 juta token H di Ethereum dan BNB Smart Chain.
Menurut laporan insiden Humanity Protocol, seorang penyerang mendapatkan akses root ke perangkat pengembang dan memperoleh tujuh kunci privat yang secara tidak sengaja telah dicadangkan selama peluncuran mainnet proyek pada Juni 2025.
Kunci-kunci tersebut termasuk kunci hot wallet admin, tiga kunci pemilik Ethereum Safe, dan tiga kunci pemilik BSC Safe, memberikan penyerang akses ke infrastruktur penting dari satu mesin yang dikompromikan.
Temuan ini menambahkan detail baru pada serangan yang sebelumnya menyebabkan H anjlok tajam sebelum mengalami pemulihan sebagian. Pada 10 Juni, token diperdagangkan mendekati $0,163, naik 23,7% dalam 24 jam, meskipun tetap turun 74,1% selama seminggu sebelumnya setelah eksploitasi tersebut.
Humanity Protocol mengatakan insiden itu tidak disebabkan oleh cacat pada kontrak bridge, kontrak token, atau arsitektur Safe-nya. Sebaliknya, penyerang menggunakan kunci privat yang valid untuk mengotorisasi transfer, transaksi Safe, dan pemutakhiran kontrak setelah mendapatkan kendali atas kredensial tersebut.
Berdasarkan laporan tersebut, serangan terjadi dalam tiga tindakan terpisah antara 8 dan 9 Juni.
Selama gelombang pertama, 6,04 juta H dikuras dari hot wallet admin Ethereum setelah kunci privatnya dikompromikan. Dari sana, penyerang bergerak menyerang infrastruktur bridge protokol.
Menggunakan tiga kunci yang dicuri dari Ethereum Safe yang beranggotakan enam orang, penyerang mentransfer kepemilikan Bridge ProxyAdmin ke dompet yang dikendalikan penyerang. Setelah memperoleh kendali administratif, penyerang memutakhirkan bridge ke implementasi berbahaya dan menguras 141,18 juta H dalam satu transaksi.
Humanity Protocol mengatakan transaksi tersebut membawa tanda tangan yang diperlukan untuk memenuhi persyaratan ambang batas Safe, memungkinkan pemutakhiran tersebut tampak sebagai tindakan yang diotorisasi daripada eksploitasi kontrak pintar.
Di BNB Smart Chain, serangkaian terpisah dari tiga kunci Safe yang dikompromikan memberikan penyerang kendali atas ProxyAdmin token. Setelah menyebarkan implementasi berbahaya, penyerang melakukan tiga transaksi pencetakan (mint) masing-masing 100 juta H, meningkatkan pasokan token dari sekitar 141,1 juta menjadi 441,1 juta H.
Meskipun aset bridge Ethereum telah dikuras, laporan tersebut menggambarkan token BSC tidak dapat dipulihkan karena penyerang masih mengendalikan ProxyAdmin dan dapat terus mencetak token tambahan. Humanity Protocol mengatakan penyerang tetap memiliki kepemilikan atas kontrak administrasi bridge dan token yang terpengaruh dalam insiden tersebut.
Pengungkapan sebelumnya dari proyek tersebut berfokus pada perangkat karyawan yang dikompromikan dan kunci Safe yang dicuri. Temuan forensik terbaru mempersempit penyebabnya menjadi satu mesin pengembang yang terinfeksi malware yang menyimpan beberapa cadangan sensitif. Menurut laporan itu, penyelidik percaya bahwa ketujuh kunci privat diperoleh dari satu perangkat tersebut.
Beberapa pertanyaan masih belum terjawab. Humanity Protocol mengatakan belum menentukan kapan penyerang pertama kali mendapatkan akses, bagaimana mesin tersebut dikompromikan, atau berapa lama kredensial yang dicuri disimpan sebelum serangan dilakukan.
Sebagai tanggapan atas insiden tersebut, proyek tersebut menghentikan deposit dan penarikan melalui bridge yang terpengaruh, meluncurkan pelacak pemulihan publik, dan menawarkan hadiah $1 juta USDT untuk informasi yang mengarah pada pemulihan aset. Humanity Protocol sebelumnya mengatakan bahwa dana yang dipulihkan akan digunakan untuk membeli kembali token H.
