Humanity Protocol menerbitkan laporan insiden forensik pada hari Selasa yang melacak pelanggaran $36 juta mereka ke satu mesin pengembang yang terinfeksi malware, yang menyimpan cadangan tujuh kunci pribadi, memberikan kendali tunggal kepada penyerang atas infrastruktur Ethereum dan BNB Smart Chain protokol tersebut.
Kunci-kunci tersebut, yang secara tidak sengaja dicadangkan ke perangkat selama peluncuran mainnet Humanity sekitar Juni 2025, mencakup kunci dompet panas admin, tiga kunci pemilik Ethereum Safe, dan tiga kunci pemilik BNB Smart Chain Safe, menurut incident report yang diterbitkan di halaman Notion protokol.
Para penyelidik mengatakan penyerang mendapatkan akses root ke mesin melalui malware, lalu mengekstraksi ketujuh kunci dari satu titik kompromi. Seperti The Defiant reported Monday, pelanggaran tersebut mengakibatkan sekitar 447 juta token H dicuri atau diterbitkan di kedua rantai dan kerugian diperkirakan sebesar $36 juta.
Bagaimana Serangan Terjadi
Protokol menyatakan bahwa pelanggaran tersebut tidak membawa bug pada kontrak jembatan, kontrak token, atau arsitektur Safe. Semua transfer, transaksi Safe, dan pembaruan proxy membawa tanda tangan kunci pribadi yang valid, sehingga setiap tindakan tampak sebagai operasi yang sah.
Serangan berlangsung dalam tiga gelombang antara 8 Juni dan 9 Juni. Pertama, 6,04 juta H ditarik dari dompet panas admin Ethereum setelah kuncinya dikompromikan. Penyerang kemudian menggunakan tiga dari enam kunci pemilik Ethereum Safe untuk merebut kepemilikan ProxyAdmin jembatan, meningkatkan jembatan ke implementasi jahat, dan menarik 141,18 juta H dalam satu transaksi.
Di BNB Smart Chain, tiga kunci Safe yang dikompromikan memberikan kendali penyerang terhadap ProxyAdmin token. Tiga transaksi pencetakan terpisah sebesar 100 juta H masing-masing memperluas pasokan beredar dari sekitar 141 juta menjadi 441 juta H sebelum dilikuidasi melalui bursa terdesentralisasi.
Humanity Protocol mencatat bahwa kontrak token BNB Smart Chain tetap berada di bawah kendali penyerang, dengan ProxyAdmin masih dipegang oleh dompet penyerang.
Pertanyaan Terbuka dan Respons
Investigasi belum menentukan kapan penyerang pertama kali mengakses mesin tersebut, bagaimana malware disampaikan, atau berapa lama kredensial yang dicuri disimpan sebelum serangan pada 8 Juni.
Sebagai respons, protokol menghentikan setoran dan penarikan jembatan, menerbitkan live tracker alamat pelaku eksploitasi, dan menawarkan hadiah USDT senilai $1 juta untuk informasi yang mengarah pada pemulihan aset. Dana yang dipulihkan akan digunakan untuk membeli kembali token H.
ZachXBT, yang awalnya mengemukakan kemungkinan insiden tersebut dipalsukan, kemudian merevisi penilaian setelah meninjau jejak pencucian uang, menulis di X bahwa aktivitas market-maker mencurigakan dan kompromi kunci pribadi tampaknya tidak terkait.
H diperdagangkan di sekitar $0,154 pada hari Selasa, turun sekitar 74% selama minggu sebelumnya, menurut CoinGecko.