Humanity Protocol publicó un informe forense el martes que rastrea su brecha de $36 millones hasta una única máquina de desarrollador infectada con malware que almacenaba copias de seguridad de siete claves privadas, otorgando a un atacante control unilateral sobre la infraestructura de Ethereum y BNB Smart Chain del protocolo.
Las claves, respaldadas involuntariamente en el dispositivo durante el lanzamiento del mainnet de Humanity alrededor de junio de 2025, incluían la clave del monedero caliente de administrador, tres claves de propietario de Ethereum Safe y tres claves de propietario de BNB Smart Chain Safe, según el incident report publicado en la página de Notion del protocolo.
Los investigadores dicen que el atacante obtuvo acceso root a la máquina mediante malware y luego extrajo las siete claves desde un único punto de compromiso. Como The Defiant reported Monday, la brecha resultó en aproximadamente 447 millones de tokens H robados o acuñados en ambas cadenas y pérdidas estimadas de $36 millones.
Cómo se desarrolló el ataque
El protocolo indicó que la brecha no tenía ningún error en sus contratos de puente, contratos de tokens o arquitectura Safe. Todas las transferencias, transacciones Safe y actualizaciones de proxy llevaban firmas válidas de claves privadas, haciendo que cada acción pareciera una operación autorizada.
El ataque se llevó a cabo en tres oleadas entre el 8 de junio y el 9 de junio. Primero, se extrajeron 6,04 millones de H de un monedero caliente de administración de Ethereum tras la compromisión de su clave. Luego, el atacante utilizó tres de las seis claves de propietario de Ethereum Safe para tomar posesión de ProxyAdmin del puente, actualizó el puente a una implementación maliciosa y extrajo 141,18 millones de H en una sola transacción.
En BNB Smart Chain, tres claves Safe comprometidas otorgaron al atacante el control del ProxyAdmin del token. Tres transacciones separadas de acuñación de 100 millones de H cada una aumentaron la oferta circulante de aproximadamente 141 millones a 441 millones de H antes de ser liquidadas a través de intercambios descentralizados.
Humanity Protocol señaló que el contrato de token de BNB Smart Chain sigue bajo control del atacante, con el ProxyAdmin aún en posesión del monedero del atacante.
Preguntas abiertas y respuesta
La investigación aún no ha determinado cuándo el atacante accedió por primera vez a la máquina, cómo se entregó el malware o cuánto tiempo se mantuvieron las credenciales robadas antes del ataque del 8 de junio.
En respuesta, el protocolo detuvo los depósitos y retiros del puente, publicó un live tracker de las direcciones del explotador y ofreció una recompensa de 1 millón de USDT por información que conduzca a la recuperación de los activos. Cualquier fondo recuperado se destinaría a comprar tokens H.
ZachXBT, quien inicialmente planteó la posibilidad de que el incidente hubiera sido montado, revisó más tarde su evaluación tras analizar la ruta de lavado, escribiendo en X que la actividad sospechosa del maker y la compromisión de la clave privada parecían no estar relacionadas.
H se negoció cerca de $0.154 el martes, una caída de aproximadamente el 74% en la semana anterior, según CoinGecko.