هجوم التصيد لبروتوكول Humanity يؤدي إلى اختراق نشر BSC

iconAMBCrypto
مشاركة
This is the logo of the coin.
H
$0.286929‮‭7.86‬%‬
This is the logo of the coin.
BNB
$607.013‮-‭2.01‬%‬
This is the logo of the coin.
ETH
$1,793.88‮-‭1.26‬%‬
This is the logo of the coin.
UNI
$3.2423‮‭18.49‬%‬
AI summary iconملخص

يقول Humanity Protocol إن هجوم تصيد مستهدف استهدف أحد مديريه أدى إلى سرقة المفاتيح الخاصة المستخدمة في اختراق رمز $H في 8 يونيو. وقد أدى ذلك إلى اختراق دائم لنشر المشروع على سلسلة BNB.

في تحديث حادث جديد نُشر في 12 يونيو، شارك الفريق النتائج من تحقيق مستقل أجرته Quantstamp.

خلصت إلى أن المهاجم استخدم بيانات اعتماد إدارية مسروقة لترقية العقود. ثم نقل الرموز عبر إيثريوم وأصدر رموزًا جديدة من $H على سلسلة BNB الذكية.

AD

في وقت لاحق، باع المهاجم الرموز عبر Uniswap وPancakeSwap على مدار ثماني ساعات تقريبًا. وقد تسبب هذا الإجراء في تدمير خطير للسيولة ودفع انخفاض حاد في سعر السوق للرمز.

بدأ الهجوم وفقًا للتقارير ببريد إلكتروني مزيف لـ Bithumb

وفقًا لبروتوكول Humanity، بدأ الاختراق ببريد إلكتروني تصيد احتيالي يُزعم أنه ينتمي إلى منصة التداول المشفرة Bithumb.

تم الإبلاغ عن أن المدير المستهدف كان يتواصل مع Bithumb قبل تلقي تحديث بدا أنه قانوني ويتضمن مرفقًا ضارًا.

قال الفريق إن فتح الملف قام بتثبيت برامج خبيثة تسمح بالوصول عن بُعد، مما منح المهاجم تحكمًا كاملاً على سطح المكتب عن بُعد. كما تم ذلك دون تفعيل حمايات نقاط النهاية.

باستخدام هذا الوصول، زُعم أن المهاجم نسخ بيانات المحافظ والمفاتيح الخاصة المخزنة على الجهاز قبل تنفيذ الهجوم على السلسلة.

قال كوانتمستامب إن أدوات البرمجيات الخبيثة وأنماط توقيع الشهادات التي لوحظت أثناء التحقيق كانت "مميزة للتدخلات المرتبطة بكوريا الشمالية". ومع ذلك، لم يذهب التقرير إلى حد إجراء تعيين قاطع.

المهاجمون قاموا بترقية العقود وإصدار عملات جديدة من $H

Humanity Protocol قال إن المهاجم استخدم مفاتيح مسروقة تعود لأحد مديريه لترقية عقد على إيثريوم ونقل حوالي 141.18 مليون رمز $H.

على سلسلة BNB، زُعم أن المهاجم سيطر على عقد ProxyAdmin، مما سمح له بإصدار المزيد من عملات $H مباشرة.

تم بيع الرموز المميزة الجديدة المُنشأة في حقول السيولة عبر إيثريوم وBSC، مما زاد من خسائر السوق للمالكين ومزودي السيولة.

أكد الفريق أن الحادث لم ينشأ عن ثغرة في العقود الذكية الأساسية نفسها.

بدلاً من ذلك، نتج التسوية عن وصول إداري غير مصرح به تم الحصول عليه من خلال هجوم التصيد.

تم تجميد الإيثريوم بينما تم التخلي عن نشر BSC

كما أدى الحادث إلى انقسام بين نشرات Humanity Protocol على إيثريوم وBSC.

وفقًا للتحديث، تم تجميد عقد رمز الإيثيريوم بنجاح باستخدام محفظة متعددة التوقيع نظيفة منفصلة لم يسيطر عليها المهاجم أبدًا.

كما قالت المشروع إن جسر Humanity Mainnet الأساسي لا يزال غير متأثر.

ومع ذلك، تم اعتبار نشر BNB Chain مخترقًا بشكل دائم. وذلك لأن المهاجم لا يزال يحتفظ بالتحكم الإداري ويمكنه الاستمرار في طباعة عملات جديدة.

"يجب التخلي عن هذا"، كتب الفريق بشأن نشر BSC.

يسلط الحادث الضوء على المخاوف المتزايدة في صناعة التشفير حول إدارة مفاتيح الحوكمة، والأمن التشغيلي، وهجمات الهندسة الاجتماعية.

الملخص النهائي

  • قالت Humanity Protocol إن هجوم تصيد احتيالي يزعم أنه ينتمي إلى Bithumb أدى إلى سرقة مفاتيح المديرين المستخدمة في استغلال $H في 8 يونيو.
  • قام المشروع بتعليق نشره على إيثريوم، لكنه قال إنه يجب التخلي عن نشره على سلسلة BNB لأن المهاجم لا يزال يتحكم في صلاحيات الطباعة.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.