Humanity Protocol сообщила, что атака на сумму около 31 млн долларов США, произошедшая 8 июня, была вызвана заражением вредоносным ПО устройства разработчика. Злоумышленники получили root-доступ к этому устройству и извлекли 7 приватных ключей, которые были случайно скопированы на локальную машину во время запуска на основном блокчейне.
Включает 7 ключевых приватных ключей
Проектная команда заявила, что эти приватные ключи включают один приватный ключ администраторского горячего кошелька и шесть приватных ключей Safe, распределенных на Ethereum и BNB Chain. Злоумышленник не воспользовался уязвимостью в коде, а напрямую использовал действующие приватные ключи для авторизации транзакций и перевода активов.
Проект утверждает, что это не уязвимость контракта
Согласно раскрытой информации, данный инцидент не связан с эксплуатацией уязвимости смарт-контракта. Проблема возникла в области эксплуатации и контроля доступа, в частности при резервном копировании ключей, обеспечении безопасности конечных устройств и управлении правами доступа во время запуска главной сети.
Риск безопасности эксплуатации усиливается
Поскольку злоумышленник использовал настоящий приватный ключ, такие риски обычно трудно выявить заранее с помощью аудита смарт-контрактов. Инцидент снова сделал управление приватными ключами, изоляцию среды разработки и безопасность инфраструктуры приоритетными задачами для криптопроектов.