Ipinahayag ng Humanity Protocol ang isang forensic incident report noong Martes na nagtatala na ang kanilang $36 milyong paglabas ay nagmula sa isang developer machine na may malware na nag-iimbak ng mga backup ng pitong private keys, na nagbibigay sa isang attacker ng iisang kontrol sa Ethereum at BNB Smart Chain infrastructure ng protocol.
Ang mga susi, na nai-backup nang walang kamalayan sa device noong pag-launch ng mainnet ng Humanity noong June 2025, ay kasama ang admin hot wallet key, tatlong Ethereum Safe owner keys, at tatlong BNB Smart Chain Safe owner keys, ayon sa incident report na ipinahayag sa pahina ng Notion ng protocol.
Sinabi ng mga imbestigador na nakakuha ang attacker ng root access sa machine sa pamamagitan ng malware, pagkatapos ay inilabas ang lahat ng pito sa isang tanging punto ng pagbubusog. Ayon sa The Defiant reported Monday, ang paglabas ay nagresulta sa pagkawala o pagmimint ng halos 447 milyong H tokens sa parehong mga chain at isang pinagsamang pagkawala na umabot sa $36 milyon.
Paano naganap ang pag-atake
Sinabi ng protokolo na ang paglabas ay walang bug sa mga bridge contract, token contract, o Safe architecture. Lahat ng pag-transfer, Safe transaction, at proxy upgrade ay may wastong mga private key signature, na nagiging sanhi na mukhang bawat aksyon ay isang pinahihintulutang operasyon.
Ang pag-atake ay nagpatuloy sa tatlong alon sa pagitan ng June 8 at June 9. Una, ang 6.04 milyong H ay tinanggal mula sa isang Ethereum admin hot wallet pagkatapos ma-compromise ang kanyang key. Pagkatapos, ginamit ng attacker ang tatlo sa anim na Ethereum Safe owner keys upang kunin ang ProxyAdmin ownership ng bridge, i-upgrade ang bridge sa isang masasamang implementation, at tinanggal ang 141.18 milyong H sa isang transaksyon.
Sa BNB Smart Chain, tatlong compromised na Safe keys ang nagbigay ng kontrol sa attacker sa ProxyAdmin ng token. Tatlong hiwalay na mint transaction ng 100 milyong H bawat isa ang nagpalawak sa circulating supply mula sa halos 141 milyon hanggang 441 milyong H bago ito ilikuid sa mga decentralized exchange.
Tinatanggap ng Humanity Protocol na nananatili sa kontrol ng attacker ang token contract ng BNB Smart Chain, kasama ang ProxyAdmin na nasa kamay ng wallet ng attacker.
Mga Tanong at Sagot
Hindi pa nakakatukoy ang imbestigasyon kung kailan unang naka-access ang attacker sa machine, paano ipinadala ang malware, o gaano katagal itinago ang stolen credentials bago ang attack noong June 8.
Sa tugon, hininto ng protokolo ang mga deposito at pagtarik ng tulay, ipinahayag ang live tracker ng mga address ng tagapag-eksploit, at inilahad ang $1 milyong USDT na bounty para sa impormasyon na magdadala sa pagbabalik ng mga asset. Ang anumang mababawi ay gagamitin para bumili muli ng mga token na H.
Si ZachXBT, na una'y nagtala ng posibilidad na ang insidente ay pinag-iisipan, ay bumago ang kanyang pagtataya pagkatapos suriin ang daan ng paglilinis, at isinulat sa X na ang suspicious na aktibidad ng market-maker at ang kompromiso ng private key ay tila walang kaugnayan.
Nakatrabaho ang H malapit sa $0.154 Martes, bumaba ng halos 74% sa nakaraang linggo, ayon sa CoinGecko.