Humanity Protocol indique qu'une attaque de phishing ciblée contre l'un de ses directeurs a conduit au vol des clés privées utilisées dans la compromission du jeton $H du 8 juin. Cela a entraîné une compromission permanente du déploiement du projet sur la chaîne BNB.
Dans une mise à jour d'incident publiée le 12 juin, l'équipe a partagé les résultats d'une enquête indépendante menée par Quantstamp.
Il a conclu que l'attaquant a utilisé des identifiants administratifs volés pour mettre à jour les contrats. Ils ont ensuite transféré des jetons sur Ethereum et émis de nouveaux $H sur BNB Smart Chain.
L'attaquant a ensuite vendu les jetons sur Uniswap et PancakeSwap sur une période d'environ huit heures. Cette opération a gravement endommagé la liquidité et déclenché un effondrement brutal du prix du marché du jeton.
L'attaque aurait commencé par un e-mail falsifié de Bithumb
Selon Humanity Protocol, la compromission a commencé par un e-mail de phishing se faisant passer pour la plateforme d'échange crypto Bithumb.
Le directeur ciblé aurait été en communication avec Bithumb avant de recevoir ce qui semblait être une mise à jour légitime contenant une pièce jointe malveillante.
L'équipe a déclaré que l'ouverture du fichier a installé un malware permettant un accès à distance, donnant à l'attaquant un contrôle total du bureau à distance sur la machine. De plus, cela a été fait sans déclencher les protections de sécurité des points d'extrémité.
Avec cet accès, l'attaquant aurait copié les données du wallet et les clés privées stockées sur l'appareil avant d'exécuter l'attaque sur la chaîne.
Quantstamp a déclaré que les outils de malware et les schémas de signature de certificats observés lors de l'enquête étaient « caractéristiques des intrusions liées à la RPDC ». Toutefois, le rapport ne s'est pas prononcé sur une attribution définitive.
Les attaquants ont mis à jour les contrats et émis de nouveaux $H
Humanity Protocol a déclaré que l'attaquant a utilisé des clés volées appartenant à l'un de ses directeurs pour mettre à jour un contrat sur Ethereum et déplacer environ 141,18 millions de tokens $H.
Sur BNB Chain, l'attaquant aurait pris le contrôle d'un contrat ProxyAdmin, lui permettant de créer directement des jetons $H supplémentaires.
Les jetons récemment émis ont ensuite été vendus dans des pools de liquidité sur Ethereum et BSC, intensifiant les pertes du marché pour les détenteurs et les fournisseurs de liquidité.
L'équipe a souligné que l'incident ne provenait pas d'une vulnérabilité dans les contrats intelligents sous-jacents eux-mêmes.
Au lieu de cela, l'incident résulte d'un accès administratif non autorisé obtenu via l'attaque d'hameçonnage.
Ethereum gelé tandis que le déploiement sur BSC est abandonné
L'incident a également créé une séparation entre les déploiements Ethereum et BSC de Humanity Protocol.
Selon la mise à jour, le contrat de jeton Ethereum a été correctement gelé à l'aide d'un wallet multisig propre et distinct que l'attaquant n'a jamais contrôlé.
Le projet a également déclaré que le pont canonique Humanity Mainnet reste inchangé.
Cependant, le déploiement sur la BNB Chain est désormais considéré comme définitivement compromis. Cela est dû au fait que l'attaquant conserve toujours le contrôle administratif et peut continuer à créer de nouveaux jetons.
« Cela doit être abandonné », a écrit l'équipe concernant le déploiement sur BSC.
L'incident met en lumière les préoccupations croissantes dans l'industrie cryptographique concernant la gestion des clés de gouvernance, la sécurité opérationnelle et les attaques d'ingénierie sociale.
Résumé final
- Humanity Protocol a déclaré qu'une attaque d'hameçonnage imitant Bithumb a conduit au vol des clés des administrateurs utilisées dans l'exploitation du 8 juin sur $H.
- Le projet a gelé son déploiement sur Ethereum, mais a déclaré que son déploiement sur la BNB Chain doit désormais être abandonné car l'attaquant contrôle toujours les autorisations de création.