CoinMarketCapが報道:
Humanity Protocolは、6月8日に発生した約3100万ドルの攻撃が、開発者デバイスへのマルウェア感染が原因であると明らかにしました。攻撃者はその後、そのデバイスのroot権限を取得し、メインネット稼働中に誤ってローカルにバックアップされた7つの秘密鍵を入手しました。
7つの重要な秘密鍵を含む
プロジェクト側は、これらの秘密鍵に管理者用ホットウォレットの秘密鍵1つと、イーサリアムおよびBNBチェーン上に分散された6つのSafeオーナー秘密鍵が含まれていると説明しています。攻撃者はコードの脆弱性を悪用したのではなく、有効な秘密鍵を直接使用してトランザクションを承認し、資産を転送しました。
プロジェクトは契約の脆弱性ではないと述べています。
開示された内容によると、今回のイベントはスマートコントラクトの脆弱性を悪用したものではありません。問題は運用およびアクセス制御の段階、特にメインネット稼働期間中の鍵のバックアップ、端末デバイスのセキュリティ、および権限管理にあります。
運用セキュリティリスクが高まっています
攻撃者が実際の秘密鍵を使用しているため、このようなリスクは通常、契約監査では事前に発見するのが困難です。この事件により、秘密鍵の管理、開発環境の分離、インフラのセキュリティが改めて暗号プロジェクトの注目点となりました。