Humanity Protocol afirma que un ataque de phishing dirigido contra uno de sus directores llevó al robo de las claves privadas utilizadas en la compromisión del token $H del 8 de junio. Esto resultó en la compromisión permanente de la implementación del proyecto en la cadena BNB.
En una actualización de incidente publicada el 12 de junio, el equipo compartió los hallazgos de una investigación independiente realizada por Quantstamp.
Concluyó que el atacante utilizó credenciales administrativas robadas para actualizar los contratos. Luego transfirió tokens a través de Ethereum y acuñó nuevos $H en BNB Smart Chain.
El atacante vendió posteriormente los tokens a través de Uniswap y PancakeSwap durante aproximadamente ocho horas. Esta operación dañó gravemente la liquidez y desencadenó una fuerte caída en el precio de mercado del token.
El ataque se inició supuestamente con un correo electrónico falso de Bithumb
Según Humanity Protocol, el compromiso comenzó con un correo de phishing que se hacía pasar por el exchange de criptomonedas Bithumb.
Se informó que el director objetivo había estado comunicándose con Bithumb antes de recibir lo que parecía ser una actualización legítima que contenía un adjunto malicioso.
El equipo dijo que abrir el archivo instaló malware de acceso remoto que otorgó al atacante control total del escritorio remoto de la máquina. Además, esto se hizo sin activar las protecciones de seguridad de endpoint.
Con ese acceso, el atacante supuestamente copió los datos del monedero y las claves privadas almacenadas en el dispositivo antes de ejecutar el ataque en la cadena.
Quantstamp dijo que las herramientas de malware y los patrones de firma de certificados observados durante la investigación fueron “característicos de intrusiones vinculadas a RPDC”. Sin embargo, el informe se abstuvo de hacer una atribución definitiva.
Los atacantes actualizaron los contratos y acuñaron nuevos $H
Humanity Protocol dijo que el atacante utilizó claves robadas pertenecientes a uno de sus directores para actualizar un contrato en Ethereum y mover aproximadamente 141,18 millones de tokens $H.
En BNB Chain, se informa que el atacante tomó el control de un contrato ProxyAdmin, lo que les permitió acuñar adicionales tokens $H directamente.
Los tokens recién acuñados luego se vendieron en piscinas de liquidez en Ethereum y BSC, intensificando las pérdidas del mercado para los titulares y proveedores de liquidez.
El equipo enfatizó que el incidente no se originó en una vulnerabilidad de los contratos inteligentes subyacentes mismos.
En cambio, el compromiso resultó del acceso administrativo no autorizado obtenido a través del ataque de phishing.
Ethereum congelado mientras se abandona la implementación en BSC
El incidente también generó una división entre las implementaciones de Ethereum y BSC de Humanity Protocol.
Según la actualización, el contrato de token de ethereum se congeló correctamente utilizando un monedero multisig limpio y separado que el atacante nunca controló.
El proyecto también indicó que el puente canonical Humanity Mainnet permanece sin afectar.
Sin embargo, el despliegue en BNB Chain ahora se considera permanentemente comprometido. Esto se debe a que el atacante aún conserva el control administrativo y puede seguir acuñando nuevos tokens.
“Esto debe ser abandonado,” escribió el equipo con respecto a la implementación en BSC.
El incidente pone de manifiesto las crecientes preocupaciones en la industria cripto sobre la gestión de claves de gobernanza, la seguridad operativa y los ataques de ingeniería social.
Resumen final
- Humanity Protocol indicó que un ataque de phishing que imitaba a Bithumb llevó al robo de las claves del director utilizadas en el exploit del $H del 8 de junio.
- El proyecto congeló su implementación en Ethereum, pero dijo que su implementación en BNB Chain ahora debe abandonarse porque el atacante aún controla los permisos de acuñación.