Humanity Protocol telah mengungkapkan bahwa lebih dari $36 juta nilai token H telah dicuri setelah penyerang menyusupi beberapa kunci administratif dan mengambil alih infrastruktur bridge di Ethereum dan BNB Smart Chain.
Menurut pembaruan insiden Humanity Protocol pada 9 Juni, serangan itu berasal setelah laptop seorang karyawan disusupi, memungkinkan penyerang untuk mendapatkan akses ke pemegang kunci yang terhubung dengan sistem administrasi bridge proyek tersebut.
Pengungkapan ini memperluas pernyataan sebelumnya dari pendiri dan CEO Humanity, Terence Kwok, yang telah mengkonfirmasi bahwa kunci pribadi milik anggota Humanity Foundation telah disusupi.
Pada saat itu, proyek tersebut memperingatkan pengguna untuk menghindari bridge Humanity dan pool likuiditas terkait saat penyelidikan sedang berlangsung.
Detail yang dirilis oleh Humanity Protocol menunjukkan bahwa tiga dari enam kunci pemilik Gnosis Safe yang mengendalikan ProxyAdmin bridge Hyperlane di Ethereum telah disusupi. Menggunakan kredensial tersebut, penyerang mentransfer kepemilikan kontrak ProxyAdmin ke dompet di bawah kendali mereka, memutakhirkan kontrak bridge ke implementasi berbahaya, dan memindahkan sekitar 141.2 juta token H dalam satu transaksi.
Di BNB Smart Chain, penyerang menyusupi tiga dari lima kunci pemilik Safe dan melakukan pengambilalihan serupa atas kontrak ProxyAdmin bridge tersebut. Humanity Protocol menyatakan penyerang kemudian menyebarkan kontrak berbahaya yang berisi fungsi pencetakan tak terbatas dan membuat 200.000.005 token H dalam dua transaksi terpisah.
Sebelumnya pada 9 Juni, analis on-chain Specter melaporkan bahwa lebih dari 17 dompet yang terhubung atau berinteraksi dengan Humanity Protocol telah dikosongkan. Perkiraan awal menempatkan kerugian mendekati $19 juta sebelum pelacak blockchain kemudian menaikkan angka tersebut di atas $30 juta.
Data pemantauan blockchain yang dikutip oleh Specter menunjukkan bahwa penyerang menjual sebagian token yang dicuri dan mengubah sebagian hasilnya menjadi Ethereum. Menurut pembaruan Telegram analis tersebut, sekitar $23.7 juta telah ditukar menjadi ETH, sementara sekitar $7.9 juta tetap dalam bentuk token H.
Pemantauan terpisah dari Blockaid menunjukkan bahwa penyerang memperoleh hak administrator proxy di BNB Smart Chain dan mencetak 100 juta token H. Humanity Protocol belum mengkonfirmasi klaim tersebut pada saat itu, meskipun laporan insiden terbaru sekarang mengkonfirmasi bahwa penyerang mendapatkan kendali administratif dan mencetak H tambahan di jaringan tersebut.
Dalam pernyataan terbarunya, Humanity Protocol mengatakan deposit dan penarikan melalui bridge yang terpengaruh telah dihentikan sementara upaya respons terus berlanjut.
Proyek ini mengatakan sedang berkoordinasi dengan bursa dan pihak lain untuk mengurangi kerugian lebih lanjut. Selain penyelidikan internal, Humanity Protocol menyatakan juga bekerja sama dengan pihak kepolisian dalam upaya menyelidiki pelanggaran dan memulihkan sebagian dana yang dicuri.
“Kami tahu kata-kata tidak bisa memperbaiki ini, tetapi kami akan hadir, terus memberi Anda informasi, dan melakukan pekerjaan untuk mendapatkan kembali kepercayaan yang telah Anda berikan kepada kami. Kami tidak akan pergi ke mana-mana dan masih terus membangun.”
Sebelum rincian teknis terbaru dipublikasikan, Kwok mengatakan tim sedang bekerja dengan spesialis keamanan dan mitra bursa. Belum ada rencana penggantian rugi atau kerangka pemulihan yang diumumkan pada tahap tersebut.
Reaksi pasar terhadap eksploitasi tersebut sangat parah, dengan token asli protokol anjlok lebih dari 90% setelah kejadian itu.
Sumber: crypto.news
Humanity Protocol mengoperasikan jaringan identitas berbasis zkEVM yang menggunakan bukti tanpa pengetahuan (zero-knowledge proofs) dan biometrik telapak tangan untuk memverifikasi pengguna tanpa menyimpan informasi pribadi mereka dalam database identitas terpusat.
Tim mengatakan laporan post-mortem lengkap akan dirilis setelah penyelidikan lebih lanjut.
