Humanity Protocol a identificat o mașină de dezvoltare infectată cu malware ca fiind sursa breșei de securitate care a dus la furtul și mintingul neautorizat a aproximativ 447 de milioane de tokenuri H pe Ethereum și BNB Smart Chain.
Conform raportului de incident al Humanity Protocol, un atacator a obținut acces root la un dispozitiv de dezvoltare și a intrat în posesia a șapte chei private care fuseseră salvate accidental în timpul lansării mainnet-ului proiectului în iunie 2025.
Cheile includeau cheia portofelului hot de administrator, trei chei de proprietar Ethereum Safe și trei chei de proprietar BSC Safe, oferind atacatorului acces la infrastructura critică de pe o singură mașină compromisă.
Constatările aduc noi detalii unui atac care anterior a făcut ca tokenul H să scadă brusc înainte de a înregistra o recuperare parțială. Pe 10 iunie, tokenul se tranzacționa în jurul valorii de 0,163 USD, în creștere cu 23,7% în 24 de ore, deși a rămas în scădere cu 74,1% față de săptămâna precedentă, în urma exploatării.
Humanity Protocol a declarat că incidentul nu a fost cauzat de o eroare în contractele sale de bridge, contractele de token sau arhitectura Safe. În schimb, atacatorul a folosit chei private valide pentru a autoriza transferuri, tranzacții Safe și actualizări de contract după obținerea controlului asupra credențialelor.
Conform raportului, atacul s-a desfășurat în trei acțiuni separate între 8 și 9 iunie.
În timpul primului val, 6,04 milioane de tokenuri H au fost drenate dintr-un portofel hot de administrator Ethereum după ce cheia sa privată a fost compromisă. De acolo, atacatorul a acționat împotriva infrastructurii bridge-ului protocolului.
Folosind trei chei furate dintr-un Safe Ethereum cu șase membri, atacatorul a transferat proprietatea Bridge ProxyAdmin către un portofel controlat de atacator. După obținerea controlului administrativ, atacatorul a actualizat bridge-ul la o implementare malițioasă și a drenat 141,18 milioane de tokenuri H într-o singură tranzacție.
Humanity Protocol a declarat că tranzacția a inclus semnăturile necesare pentru a îndeplini cerințele de prag ale Safe-ului, permițând ca actualizarea să pară o acțiune autorizată, mai degrabă decât o exploatare a unui contract inteligent.
Pe BNB Smart Chain, un set separat de trei chei Safe compromise a oferit atacatorului controlul asupra ProxyAdmin-ului tokenului. După implementarea unei implementări malițioase, atacatorul a executat trei tranzacții de minting a câte 100 de milioane de tokenuri H fiecare, crescând oferta totală de tokenuri de la aproximativ 141,1 milioane la 441,1 milioane H.
În timp ce activele bridge-ului Ethereum au fost drenate, raportul a descris tokenul BSC ca fiind nerecuperabil, deoarece atacatorul controlează în continuare ProxyAdmin-ul și poate continua să mintingeze tokenuri suplimentare. Humanity Protocol a declarat că atacatorul deține în continuare proprietatea ambelor contracte de administrare a bridge-ului și a tokenului afectate în incident.
Dezvăluirile anterioare ale proiectului s-au axat pe dispozitivele angajaților compromise și pe cheile Safe furate. Cele mai recente constatări medico-legale au restrâns cauza la o singură mașină de dezvoltare infectată cu malware care stoca mai multe copii de rezervă sensibile. Conform raportului, investigatorii cred că toate cele șapte chei private au fost obținute de pe acel singur dispozitiv.
Rămân mai multe întrebări fără răspuns. Humanity Protocol a declarat că nu a stabilit încă când a obținut atacatorul accesul inițial, cum a fost compromisă mașina sau cât timp au fost deținute credențialele furate înainte de a fi efectuat atacul.
Ca răspuns la incident, proiectul a oprit depozitele și retragerile prin bridge-urile afectate, a lansat un tracker public de recuperare și a oferit o recompensă de 1 milion USD în USDT pentru informații care duc la recuperarea activelor. Humanity Protocol a declarat anterior că orice fonduri recuperate ar fi folosite pentru a răscumpăra tokenuri H.
