Humanity Protocol đã công bố báo cáo điều tra sự cố vào thứ Ba, xác định vụ xâm phạm 36 triệu đô la Mỹ xuất phát từ một máy phát triển duy nhất bị nhiễm phần mềm độc hại, lưu trữ bản sao lưu của bảy khóa riêng tư, cho phép kẻ tấn công kiểm soát đơn phương cơ sở hạ tầng Ethereum và BNB Smart Chain của giao thức.
Các khóa, vô tình được sao lưu vào thiết bị trong quá trình ra mắt mạng chính của Humanity vào khoảng tháng 6 năm 2025, bao gồm khóa ví nóng quản trị, ba khóa chủ sở hữu Ethereum Safe và ba khóa chủ sở hữu BNB Smart Chain Safe, theo báo cáo sự cố được công bố trên trang Notion của giao thức.
Các nhà điều tra cho biết kẻ tấn công đã giành quyền truy cập root vào máy thông qua phần mềm độc hại, sau đó trích xuất tất cả bảy khóa từ một điểm bị xâm phạm duy nhất. Như The Defiant báo cáo vào thứ Hai, vụ vi phạm đã dẫn đến việc đánh cắp hoặc tạo ra khoảng 447 triệu token H trên cả hai chuỗi và tổn thất ước tính 36 triệu USD.
Cách cuộc tấn công diễn ra
Giao thức cho biết vụ xâm nhập không chứa lỗi nào trong các hợp đồng cầu nối, hợp đồng token hoặc kiến trúc Safe. Tất cả các khoản chuyển, giao dịch Safe và nâng cấp proxy đều có chữ ký khóa riêng hợp lệ, khiến mỗi hành động trông giống như một hoạt động được ủy quyền.
Cuộc tấn công diễn ra trong ba đợt giữa ngày 8 và ngày 9 tháng Sáu. Đầu tiên, 6,04 triệu H đã bị rút khỏi ví nóng quản trị ethereum sau khi chìa khóa của nó bị xâm phạm. Sau đó, kẻ tấn công sử dụng ba trong số sáu chìa khóa chủ sở hữu Ethereum Safe để chiếm quyền sở hữu ProxyAdmin của cầu, nâng cấp cầu lên một phiên bản độc hại, và rút 141,18 triệu H trong một giao dịch duy nhất.
Trên BNB Smart Chain, ba khóa Safe bị xâm phạm đã cho kẻ tấn công kiểm soát ProxyAdmin của token. Ba giao dịch đúc riêng lẻ, mỗi giao dịch 100 triệu H, đã làm tăng nguồn cung lưu hành từ khoảng 141 triệu lên 441 triệu H trước khi bị thanh lý thông qua các sàn giao dịch phi tập trung.
Humanity Protocol ghi nhận hợp đồng token trên BNB Smart Chain vẫn đang dưới sự kiểm soát của kẻ tấn công, với ProxyAdmin vẫn nằm trong ví của kẻ tấn công.
Câu hỏi còn mở và phản hồi
Cuộc điều tra vẫn chưa xác định được thời điểm kẻ tấn công truy cập vào máy tính lần đầu tiên, malware được truyền tải như thế nào, hay thông tin đăng nhập bị đánh cắp đã bị giữ trong bao lâu trước cuộc tấn công ngày 8 tháng Sáu.
Để phản ứng, giao thức đã tạm dừng các khoản nạp và rút qua cầu, công bố một bảng theo dõi trực tiếp các địa chỉ của kẻ khai thác, và đưa ra phần thưởng 1 triệu USDT cho thông tin dẫn đến việc khôi phục tài sản. Mọi khoản tiền được khôi phục sẽ được sử dụng để mua lại các token H.
ZachXBT, người ban đầu đặt ra khả năng sự việc này được dàn dựng, sau đó đã điều chỉnh đánh giá của mình sau khi xem xét chuỗi rửa tiền, viết trên X rằng các hoạt động của người tạo lệnh đáng ngờ và việc bị xâm phạm khóa riêng dường như không liên quan đến nhau.
H giao dịch gần mức 0,154 USD vào thứ Ba, giảm khoảng 74% trong tuần trước đó, theo CoinGecko.