Humanity Protocol zidentyfikował zainfekowaną złośliwym oprogramowaniem maszynę dewelopera jako źródło naruszenia bezpieczeństwa, które doprowadziło do kradzieży i nieautoryzowanego wybicia około 447 milionów tokenów H w sieciach Ethereum i BNB Smart Chain.
Zgodnie z raportem Humanity Protocol dotyczącym incydentu, atakujący uzyskał dostęp root do urządzenia dewelopera i pozyskał siedem kluczy prywatnych, które zostały nieumyślnie zabezpieczone podczas uruchomienia mainnetu projektu w czerwcu 2025 roku.
Klucze te obejmowały klucz do gorącego portfela administratora, trzy klucze właścicieli Ethereum Safe oraz trzy klucze właścicieli BSC Safe, co dało atakującemu dostęp do krytycznej infrastruktury z jednej skompromitowanej maszyny.
Ustalenia te dodają nowe szczegóły do ataku, który wcześniej spowodował gwałtowny spadek wartości H, zanim nastąpiło częściowe odbicie. 10 czerwca token notowany był w okolicach 0,163 USD, co oznaczało wzrost o 23,7% w ciągu 24 godzin, choć pozostawał o 74,1% niżej w stosunku do poprzedniego tygodnia po exploicie.
Humanity Protocol stwierdził, że incydent nie był spowodowany błędem w kontraktach mostu, kontraktach tokenów ani architekturze Safe. Zamiast tego, atakujący użył ważnych kluczy prywatnych do autoryzowania transferów, transakcji Safe i aktualizacji kontraktów po uzyskaniu kontroli nad danymi uwierzytelniającymi.
Na podstawie raportu atak rozwinął się w trzech oddzielnych działaniach między 8 a 9 czerwca.
Podczas pierwszej fali, 6,04 miliona H zostało wyprowadzonych z gorącego portfela administratora Ethereum po skompromitowaniu jego klucza prywatnego. Następnie atakujący zaatakował infrastrukturę mostu protokołu.
Używając trzech skradzionych kluczy z sześcioosobowego Ethereum Safe, atakujący przeniósł własność Bridge ProxyAdmin do portfela kontrolowanego przez atakującego. Po uzyskaniu kontroli administracyjnej, atakujący zaktualizował most do złośliwej implementacji i wyprowadził 141,18 miliona H w jednej transakcji.
Humanity Protocol stwierdził, że transakcja zawierała podpisy niezbędne do spełnienia wymagań progowych Safe, co sprawiło, że aktualizacja wyglądała na autoryzowane działanie, a nie exploit inteligentnego kontraktu.
W sieci BNB Smart Chain oddzielny zestaw trzech skompromitowanych kluczy Safe dał atakującemu kontrolę nad ProxyAdmin tokena. Po wdrożeniu złośliwej implementacji atakujący wykonał trzy transakcje bicia po 100 milionów H każda, zwiększając podaż tokena z około 141,1 miliona do 441,1 miliona H.
Podczas gdy aktywa mostu Ethereum zostały wyprowadzone, raport określił token BSC jako niemożliwy do odzyskania, ponieważ atakujący nadal kontroluje ProxyAdmin i może kontynuować bicie dodatkowych tokenów. Humanity Protocol stwierdził, że atakujący zachowuje własność zarówno mostu, jak i kontraktów administracyjnych tokenów dotkniętych incydentem.
Wcześniejsze ujawnienia projektu koncentrowały się na skompromitowanych urządzeniach pracowników i skradzionych kluczach Safe. Najnowsze ustalenia śledcze zawęziły przyczynę do jednej zainfekowanej złośliwym oprogramowaniem maszyny dewelopera, która przechowywała wiele wrażliwych kopii zapasowych. Według raportu, śledczy uważają, że wszystkie siedem kluczy prywatnych zostało pozyskanych z tego pojedynczego urządzenia.
Kilka pytań pozostaje bez odpowiedzi. Humanity Protocol stwierdził, że nie ustalił jeszcze, kiedy atakujący po raz pierwszy uzyskał dostęp, w jaki sposób maszyna została skompromitowana, ani jak długo skradzione dane uwierzytelniające były przechowywane przed przeprowadzeniem ataku.
W odpowiedzi na incydent, projekt wstrzymał wpłaty i wypłaty za pośrednictwem dotkniętych mostów, uruchomił publiczny tracker odzyskiwania i zaoferował nagrodę w wysokości 1 miliona USDT za informacje prowadzące do odzyskania aktywów. Humanity Protocol wcześniej powiedział, że wszelkie odzyskane fundusze zostaną wykorzystane do odkupienia tokenów H.
