O Humanity Protocol publicou um relatório forense de incidente na terça-feira, rastreando sua violação de US$ 36 milhões até uma única máquina de desenvolvedor infectada por malware que armazenava cópias de segurança de sete chaves privadas, concedendo a um atacante controle unilateral sobre a infraestrutura do Ethereum e da BNB Smart Chain do protocolo.
As chaves, acidentalmente copiadas para o dispositivo durante o lançamento do mainnet da Humanity por volta de junho de 2025, incluíam a chave da carteira quente de administrador, três chaves de proprietário do Ethereum Safe e três chaves de proprietário do BNB Smart Chain Safe, segundo o incident report publicado na página do protocolo no Notion.
Investigadores dizem que o atacante obteve acesso root à máquina por meio de malware e, em seguida, extraiu todas as sete chaves a partir de um único ponto de comprometimento. Como The Defiant reported Monday relatou na segunda-feira, a violação resultou em aproximadamente 447 milhões de tokens H roubados ou cunhados em ambas as cadeias e perdas estimadas de US$ 36 milhões.
Como o ataque se desenrolou
O protocolo afirmou que a violação não apresentava falha em seus contratos de ponte, contratos de token ou arquitetura Safe. Todas as transferências, transações Safe e atualizações de proxy tinham assinaturas válidas de chave privada, fazendo com que cada ação parecesse uma operação autorizada.
O ataque ocorreu em três ondas entre 8 de junho e 9 de junho. Primeiro, 6,04 milhões de H foram retirados de uma carteira quente de administração do Ethereum após a chave ter sido comprometida. Em seguida, o atacante usou três das seis chaves de proprietário do Ethereum Safe para assumir a propriedade do ProxyAdmin da ponte, atualizou a ponte para uma implementação maliciosa e retirou 141,18 milhões de H em uma única transação.
Na BNB Smart Chain, três chaves Safe comprometidas deram ao atacante controle do ProxyAdmin do token. Três transações separadas de cunhagem de 100 milhões de H cada expandiram a oferta circulante de aproximadamente 141 milhões para 441 milhões de H antes de serem liquidadas por meio de exchanges descentralizadas.
Humanity Protocol observou que o contrato de token da BNB Smart Chain permanece sob controle do atacante, com o ProxyAdmin ainda detido pela carteira do atacante.
Perguntas em aberto e resposta
A investigação ainda não determinou quando o atacante acessou pela primeira vez a máquina, como o malware foi entregue ou por quanto tempo as credenciais roubadas foram mantidas antes do ataque de 8 de junho.
Em resposta, o protocolo interrompeu os depósitos e saques da ponte, publicou um live tracker dos endereços do explorador e ofereceu uma recompensa de US$ 1 milhão em USDT por informações que levem à recuperação dos ativos. Quaisquer fundos recuperados seriam usados para comprar de volta os tokens H.
ZachXBT, que inicialmente levantou a possibilidade de o incidente ter sido montado, revisou posteriormente sua avaliação após analisar a trilha de lavagem, escrevendo no X que a atividade suspeita do criador de mercado e a comprometimento da chave privada pareciam não estar relacionadas.
H foi negociado próximo a US$ 0,154 na terça-feira, queda de aproximadamente 74% na semana anterior, segundo o CoinGecko.