Humanity Protocol опублікувала звіт про розслідування інциденту у вівторок, в якому встановила, що витік на суму $36 мільйонів був спричинений однією зараженою шкідливим програмним забезпеченням машиною розробника, на якій зберігалися резервні копії семи приватних ключів, що надавало нападнику односторонній контроль над інфраструктурою Ethereum і BNB Smart Chain протоколу.
Ключі, випадково збережені на пристрої під час запуску мейннету Humanity близько червня 2025 року, включали ключ адміністративного гарячого гаманця, три ключі власників Ethereum Safe та три ключі власників BNB Smart Chain Safe, згідно з звітом про інцидент, опублікованим на сторінці протоколу у Notion.
Розслідувачі стверджують, що нападник отримав доступ root до машини через шкідливе ПЗ, а потім витягнув усі сім ключів з однієї точки компрометації. Як The Defiant повідомив у понеділок, в результаті цього вторгнення було вкрадено або випущено приблизно 447 мільйонів токенів H на обох ланцюгах, а збитки оцінюються в 36 мільйонів доларів США.
Як розгорталися події атаки
Протокол зазначив, що порушення не містило жодних помилок у контрактах моста, контрактах токенів чи архітектурі Safe. Усі перекази, транзакції Safe та оновлення проксі мали дійсні підписи приватних ключів, що робило кожну дію виглядаючою як авторизовану операцію.
Атака тривала три хвилі між 8 і 9 червня. Спочатку 6,04 мільйона H було виведено з Ethereum адміністративного гарячого гаманця після компрометації його ключа. Потім атакуючий використав три з шести ключів власника Ethereum Safe, щоб захопити власність ProxyAdmin мосту, оновив міст до зловмисної реалізації та вивів 141,18 мільйона H за одну транзакцію.
На BNB Smart Chain три скомпрометовані ключі Safe надали атакуючому контроль над ProxyAdmin токена. Три окремі транзакції з мінтом по 100 мільйонів H збільшили обіговий запас з приблизно 141 мільйона до 441 мільйона H, перш ніж їх було ліквідовано через децентралізовані біржі.
Humanity Protocol зазначила, що токенний контракт BNB Smart Chain залишається під контролем нападника, а ProxyAdmin все ще знаходиться у власності гаманця нападника.
Відкриті питання та відповіді
Розслідування ще не встановило, коли нападник вперше отримав доступ до машини, як було доставлено шкідливе ПЗ або як довго використовувалися вкрадені облікові дані до атаки 8 червня.
У відповідь протокол призупинив депозити та виведення через міст, опублікував live tracker адрес експлуататора та запропонував винагороду в розмірі 1 мільйона USDT за інформацію, що призведе до відновлення активів. Будь-які відновлені кошти будуть використані для викупу токенів H.
ZachXBT, який спочатку висунув припущення, що інцидент був підготуваний, пізніше змінив свою оцінку після аналізу ланцюжка відмивання коштів, написавши у X, що підозріла діяльність мейкера та компрометація приватного ключа, схоже, не пов’язані між собою.
H торгувався близько $0,154 у вівторок, що на 74% менше, ніж на тиждень раніше, за даними CoinGecko.