Humanity Protocol menerbitkan laporan insiden forensik pada hari Selasa yang menelusuri kebocoran sebanyak $36 juta kepada satu mesin pembangun yang terinfeksi malware, yang menyimpan salinan cadangan tujuh kunci peribadi, memberikan kawalan tunggal kepada penyerang terhadap infrastruktur ethereum dan BNB Smart Chain protokol tersebut.
Kunci-kunci tersebut, yang secara tidak sengaja disimpan ke peranti semasa pelancaran rangkaian utama Humanity pada Jun 2025, termasuk kunci dompet panas pentadbir, tiga kunci pemilik Ethereum Safe, dan tiga kunci pemilik BNB Smart Chain Safe, menurut laporan insiden yang diterbitkan di halaman Notion protokol tersebut.
Penyiasat mengatakan penyerang mendapat akses root ke mesin melalui perisian jahat, kemudian mengekstrak ketujuh-tujuh kunci dari satu titik kebocoran. Seperti The Defiant reported Monday, serangan ini mengakibatkan sebanyak 447 juta token H dicuri atau diterbitkan di kedua-dua rantai dan kerugian berjumlah kira-kira $36 juta.
Bagaimana serangan berlaku
Protokol menyatakan bahawa pelanggaran tersebut tidak membawa sebarang ralat dalam kontrak jambatan, kontrak token, atau arsitektur Safe. Semua pindahan, transaksi Safe, dan pengupgraderan proxy membawa tanda tangan kunci peribadi yang sah, menjadikan setiap tindakan kelihatan seperti operasi yang diberi kebenaran.
Serangan berlaku dalam tiga gelombang antara 8 Jun dan 9 Jun. Pertama, 6.04 juta H ditarik daripada dompet panas pentadbir Ethereum selepas kuncinya dikompromikan. Penyerang kemudian menggunakan tiga daripada enam kunci pemilik Ethereum Safe untuk mengambil alih kepemilikan ProxyAdmin jambatan, meningkatkan jambatan kepada pelaksanaan jahat, dan menarik 141.18 juta H dalam satu transaksi.
Di BNB Smart Chain, tiga kunci Safe yang telah disusupi memberikan pengawalan penyerang terhadap ProxyAdmin token. Tiga transaksi pencetakan terpisah sebanyak 100 juta H setiap satu meningkatkan jumlah edaran dari kira-kira 141 juta menjadi 441 juta H sebelum dilikuidasi melalui bursa terdesentralisasi.
Humanity Protocol mencatat kontrak token BNB Smart Chain masih berada di bawah kawalan penyerang, dengan ProxyAdmin masih dipegang oleh dompet penyerang.
Soalan Terbuka dan Respons
Siasatan belum menentukan bila penyerang pertama kali mengakses mesin tersebut, bagaimana malware tersebut dihantar, atau berapa lama maklumat pencurian dipegang sebelum serangan pada 8 Jun.
Sebagai tindak balas, protokol menghentikan deposit dan penarikan jambatan, menerbitkan live tracker alamat penyerang, dan menawarkan hadiah USDT $1 juta untuk maklumat yang membawa kepada pemulihan aset. Sebarang dana yang dipulihkan akan digunakan untuk membeli semula token H.
ZachXBT, yang awalnya mengemukakan kemungkinan insiden itu dipalsukan, kemudian memperbaharui penilaian beliau selepas mengkaji jejak pencucian wang, menulis di X bahawa aktiviti pembuat pasaran yang mencurigakan dan kompromi kunci peribadi kelihatan tidak berkaitan.
H diperdagangkan berhampiran $0,154 pada hari Selasa, turun kira-kira 74% seminggu sebelumnya, menurut CoinGecko.