Humanity Protocol повідомила, що атака на суму близько 31 мільйона доларів США, що відбулася 8 червня, була спричинена зараженням пристрою розробників шкідливим програмним забезпеченням. Зловмисники отримали права root на цьому пристрої та отримали доступ до семи приватних ключів, які були випадково збережені на локальному пристрої під час запуску на головній мережі.
Залучено 7 ключів
Проектна команда зазначила, що ці приватні ключі включають один адміністративний гарячий гаманець та шість приватних ключів Safe, розподілених по мережах Ethereum та BNB Chain. Зловмисник не використовував уразливості в коді, а безпосередньо використав дійсні приватні ключі для авторизації транзакцій та переказу активів.
Проект стверджує, що це не вразливість контракту
Згідно з розкритою інформацією, цей інцидент не пов’язаний з використанням вразливості смарт-контракту. Проблема полягала в операційній підтримці та контролі доступу, зокрема в резервному копіюванні ключів, безпеці кінцевих пристроїв та управлінні правами під час запуску на головній мережі.
Зростання ризиків безпеки при експлуатації
Оскільки нападник використовував справжній приватний ключ, такі ризики зазвичай важко виявити заздалегідь за допомогою аудиту смарт-контрактів. Цей інцидент знову зробив керування приватними ключами, ізоляцію середовища розробки та безпеку інфраструктури пріоритетними питаннями для криптовалютних проектів.