Humanity Protocol a publié un rapport d'analyse forensique mardi, attribuant sa violation de 36 millions de dollars à une seule machine de développeur infectée par un malware, qui stockait des sauvegardes de sept clés privées, accordant à un attaquant un contrôle unique sur l'infrastructure Ethereum et BNB Smart Chain du protocole.
Les clés, sauvegardées involontairement sur l'appareil lors du lancement du mainnet de Humanity vers juin 2025, incluaient la clé du wallet chaud d'administrateur, trois clés de propriétaire Ethereum Safe et trois clés de propriétaire BNB Smart Chain Safe, selon le incident report publié sur la page Notion du protocole.
Les enquêteurs affirment que l'attaquant a obtenu l'accès root à la machine via un malware, puis a extrait les sept clés à partir d'un seul point de compromission. Comme The Defiant reported Monday l'a rapporté lundi, la violation a entraîné le vol ou la création d'environ 447 millions de jetons H sur les deux chaînes, avec des pertes estimées à 36 millions de dollars.
Comment l'attaque s'est déroulée
Le protocole a indiqué que la violation ne comportait aucun bug dans ses contrats de pont, ses contrats de jetons ou son architecture Safe. Tous les transferts, les transactions Safe et les mises à niveau de proxy portaient des signatures de clé privée valides, rendant chaque action apparaître comme une opération autorisée.
L'attaque s'est déroulée en trois vagues entre le 8 et le 9 juin. Tout d'abord, 6,04 million de H ont été prélevés d'un hot wallet administratif Ethereum après que sa clé ait été compromise. L'attaquant a ensuite utilisé trois des six clés de propriétaire Ethereum Safe pour s'emparer de la propriété ProxyAdmin de la passerelle, mettre à jour la passerelle vers une implémentation malveillante, et prélever 141,18 million de H en une seule transaction.
Sur BNB Smart Chain, trois clés Safe compromise ont donné à l'attaquant le contrôle du ProxyAdmin du jeton. Trois transactions de création distinctes de 100 millions de H chacune ont augmenté l'offre circulante de environ 141 millions à 441 millions de H avant d'être liquidées via des échanges décentralisés.
Humanity Protocol a noté que le contrat de jeton sur BNB Smart Chain reste sous le contrôle de l'attaquant, l'ProxyAdmin étant toujours détenu par le wallet de l'attaquant.
Questions ouvertes et réponse
L'enquête n'a pas encore déterminé quand l'attaquant a accédé pour la première fois à la machine, comment le malware a été délivré, ni combien de temps les identifiants volés ont été conservés avant l'attaque du 8 juin.
En réponse, le protocole a suspendu les dépôts et retraits via la passerelle, publié un suivi en direct des adresses de l'attaquant, et offert une récompense de 1 million de USDT pour toute information conduisant à la récupération des actifs. Tout fonds récupéré serait utilisé pour racheter des jetons H.
ZachXBT, qui avait initialement évoqué la possibilité que l'incident soit orchestré, a ensuite révisé son évaluation après avoir examiné la trace de blanchiment, écrivant sur X que les activités suspectes du market-maker et la compromission de la clé privée semblaient non liées.
H a été négocié près de 0,154 $ mardi, en baisse d'environ 74 % au cours de la semaine précédente, selon CoinGecko.