Ipinahayag ng Humanity Protocol na ang pag-atake na umabot sa halos $31 milyon noong June 8 ay dulot ng pagkakaroon ng malware sa device ng developer. Nakuha ng mga attacker ang root access sa device at nakuha ang 7 na private keys na naka-backup nang walang kaalaman sa lokal na device noong panahon ng mainnet launch.
Nakakasangkot ang 7 mahahalagang private key
Ipinahayag ng project team na ang mga private key na ito ay kasama ang isang admin hot wallet private key at anim na Safe owner private key na nakalat sa Ethereum at BNB Chain. Hindi nagamit ng attacker ang code vulnerability, kundi direktang ginamit ang mga epektibong private key para ma-approve ang mga transaksyon at ilipat ang mga asset.
Hindi ito isang bug sa contract
Ayon sa paglalathala, ang insidente na ito ay hindi isang pagpapabaya sa smart contract. Ang problema ay nasa mga operasyon at kontrol ng pag-access, lalo na sa pag-backup ng mga key, seguridad ng mga terminal device, at pamamahala ng mga pahintulot sa panahon ng paglunsad sa mainnet.
Nag-iingat ang mga panganib sa seguridad ng operasyon
Dahil ginamit ng attacker ang totoong private key, ang ganitong uri ng panganib ay kadalasang mahirap makita bago ang audit ng contract. Ang insidente ay nagpahalaga muli sa pagpapamahala ng private key, paghihiwalay ng development environment, at kaligtasan ng infrastruktura bilang mga pangunahing pag-aalala para sa mga cryptocurrency project.