মানবতা প্রোটোকল মঙ্গলবার একটি ফরেনসিক ঘটনা রিপোর্ট প্রকাশ করে যেখানে তাদের $36 মিলিয়নের ব্রিচটি একটি একক ম্যালওয়্যার-সংক্রান্ত ডেভেলপার মেশিনের সাথে সংযুক্ত করা হয়েছে, যেখানে সাতটি প্রাইভেট কীয়ের ব্যাকআপ সংরক্ষণ করা হয়েছিল, যার ফলে একজন আক্রমণকারীর প্রোটোকলের ইথেরিয়াম এবং BNB স্মার্ট চেইন ইনফ্রাস্ট্রাকচারের উপর এককাধিকারিতা প্রতিষ্ঠিত হয়।
জুন ২০২৫-এর দিকে হিউম্যানিটির মেইননেট লঞ্চের সময় ডিভাইসে অনিচ্ছাকৃতভাবে ব্যাকআপ করা কীগুলির মধ্যে রয়েছে অ্যাডমিন হট ওয়ালেট কী, তিনটি ইথেরিয়াম সেফ মালিকানা কী এবং তিনটি BNB স্মার্ট চেইন সেফ মালিকানা কী, প্রোটোকলের Notion পেজে প্রকাশিত incident report অনুযায়ী।
তদন্তকারীদের মতে, আক্রমণকারী ম্যালওয়্যারের মাধ্যমে মেশিনে রুট অ্যাক্সেস লাভ করেছিল এবং একটি একক সুরক্ষা ভাঙন থেকে সাতটি কী বের করেছিল। The Defiant reported Monday অনুযায়ী, এই ব্রিচের ফলে উভয় চেইনে প্রায় 447 মিলিয়ন H টোকেন চুরি বা মিন্ট করা হয়েছে এবং প্রায় 36 মিলিয়ন ডলারের ক্ষতি হয়েছে।
কিভাবে আক্রমণটি ঘটল
প্রোটোকলটি বলেছে যে ব্রিজ কন্ট্রাক্ট, টোকেন কন্ট্রাক্ট বা সেফ আর্কিটেকচারে কোনো বাগ ছিল না। সমস্ত ট্রান্সফার, সেফ ট্রানজেকশন এবং প্রক্সি আপগ্রেডে বৈধ প্রাইভেট কী সিগনেচার ছিল, যা প্রতিটি অপারেশনকে একটি অনুমোদিত অপারেশন হিসাবে প্রদর্শন করেছে।
আক্রমণটি জুন ৮ এবং জুন ৯ এর মধ্যে তিনটি ঢেউয়ে সংঘটিত হয়। প্রথমে, একটি ইথেরিয়াম অ্যাডমিন হট ওয়ালেট থেকে এর কী দুর্নীতিগ্রস্ত হওয়ার পর 6.04 মিলিয়ন H টানা হয়। তারপর, আক্রমণকারী ছয়টি ইথেরিয়াম Safe মালিকানা কীর মধ্যে তিনটি ব্যবহার করে ব্রিজের ProxyAdmin মালিকানা দখল করে, ব্রিজটিকে একটি ক্ষতিকারক বাস্তবায়নে আপগ্রেড করে, এবং একক লেনদেনে 141.18 মিলিয়ন H টানে।
BNB স্মার্ট চেইনে, তিনটি ক্ষতিগ্রস্ত Safe কী আক্রমণকারীকে টোকেনের ProxyAdmin নিয়ন্ত্রণ দেয়। ডিসেন্ট্রালাইজড এক্সচেঞ্জের মাধ্যমে প্রতিটি ১০০ মিলিয়ন H এর তিনটি আলাদা মিন্ট লেনদেন প্রায় ১৪১ মিলিয়ন থেকে ৪৪১ মিলিয়ন H পর্যন্ত প্রচলিত সরবরাহ বাড়ায়।
হিউম্যানিটি প্রোটোকল নোট করেছে যে বিএনবি স্মার্ট চেইন টোকেন কনট্রাক্টটি এখনও আক্রমণকারীর নিয়ন্ত্রণে রয়েছে, যেখানে প্রক্সি অ্যাডমিন এখনও আক্রমণকারীর ওয়ালেটের হাতে।
খোলা প্রশ্ন এবং প্রতিক্রিয়া
আক্রমণকারী প্রথম কবে মেশিনে প্রবেশ করেছিল, ম্যালওয়্যারটি কীভাবে প্রেরণ করা হয়েছিল বা জুন ৮ এর আক্রমণের আগে চুরি করা ক্রেডেনশিয়ালগুলি কতক্ষণ ধরে রাখা হয়েছিল, তা এখনও অনুসন্ধানের মাধ্যমে নির্ধারিত হয়নি।
প্রোটোকলটি ব্রিজ জমা এবং উত্তোলন বন্ধ করে দেয়, অপরাধীর ঠিকানাগুলির একটি লাইভ ট্র্যাকার প্রকাশ করে এবং সম্পদ পুনরুদ্ধারের জন্য তথ্যের জন্য $1 মিলিয়ন USDT বোনাস প্রদান করে। যেকোনো পুনরুদ্ধারকৃত ফান্ড H টোকেন কিনতে ব্যবহার করা হবে।
যিনি প্রাথমিকভাবে এই ঘটনাটি পরিকল্পিত হওয়ার সম্ভাবনা উত্থাপন করেছিলেন, তিনি ধোয়ার ট্রেইল পর্যালোচনা করার পরে তাঁর মূল্যায়ন সংশোধন করেন এবং X-এ লিখেছেন যে সন্দেহজনক মার্কেট-মেকার কার্যকলাপ এবং প্রাইভেট কী কমপ্রোমাইজেশন অসংশ্লিষ্ট বলে মনে হচ্ছে।
ট্রেডিং প্রতিদিন মঙ্গলবার $0.154-এর কাছাকাছি হয়েছিল, যা গত সপ্তাহের তুলনায় প্রায় 74% কমেছে, কয়েনজিকো অনুযায়ী।