Attaque par piratage ou Rug Pull ? Analyse de l’événement de sécurité de 30 millions de dollars de Humanity Protocol et traçage des fonds volés

Le 9 juin, le projet d'identité décentralisée Humanity Protocol a subi une anomalie, entraînant des pertes pour plusieurs portefeuilles/contrats liés à Humanity Protocol sur le réseau Ethereum détenant des jetons $H. Les jetons $H détenus par ces adresses ont été transférés vers des adresses contrôlées par l'attaquant, puis échangés et transférés ultérieurement. En outre, l'attaquant a émis de nouveaux jetons $H sur la BNB Chain et les a vendus, réalisant un profit total supérieur à 30 millions de dollars américains.

Analyse d'un incident de sécurité

À titre d'exemple de la transaction la plus coûteuse, le contrat agent 0x44f161ae29361e332dea039dfa2f404e0bc5b5cc a transféré 141 182 632,22 $H à l'adresse de l'attaquant 0xd1ea823d421e0c829ee11f772af487fd352678ea, pour une valeur d'environ 16,45 millions de dollars.

En vérifiant les activités passées de ce contrat d’agent, on constate que ce contrat a été mis à jour avant ce virement important :

En décompilant le contrat mis à jour (0xee1bd9356Fe66591F600d5769F3e0e03F012CaFa), nous pouvons constater que la fonction d'exécution du contrat exige que l'adresse du compte ayant déclenché l'appel de fonction du contrat intelligent soit l'adresse de l'attaquant 0xd1ea823d421e0c829ee11f772af487fd352678ea, permettant ainsi le transfert des jetons grâce à la mise à jour du contrat malveillant :

Analyse à nouveau les enregistrements sur chaîne du token $H : lors de l'incident de sécurité, le contrat de ce token a également été mis à jour :

Vérifiez la transaction de cette mise à niveau de contrat (hash de transaction : 0x726f6b24c36104963e19648f5ed165b9f869744e501d27588ab24d7a4f9c53b6) ; vous trouverez l'adresse multisig 0x7BbC0d5167017092e2ba599dE6062080b891f645, qui est une multisig 4/7, mais qui a tout de même signé la transaction de mise à niveau malveillante du contrat.

L'attaquant a initié une transaction et a réussi à modifier le propriétaire du ProxyAdmin (0xd73Cd1117646625FFE23a55860035aC62fa8720D) du contrat $H (0x44F161aE29361E332dEA039DFA2F404E0bC5B5Cc) en l'adresse de l'attaquant 0x6Aa22CB8420E94Fc2119364b4c7885710aE753bB.

L'ancienne adresse multisig avec une configuration 3/5 :

Après avoir obtenu les droits de propriétaire, l'adresse de l'attaquant a mis à jour le contrat du token $H et a créé au total plus de 400 millions de tokens $H pour les vendre :

Analyse des flux de fonds

La perte réelle causée par cet incident dépasse déjà 30 millions de dollars, et l'adresse de l'attaquant continue de créer de nouvelles pièces pour générer des bénéfices. Une analyse des adresses associées à l'attaquant via Beosin Trace permet d'obtenir le graphique de flux suivant :

Les tokens $H obtenus par l'attaquant sur le réseau Ethereum ont été majoritairement échangés contre de l'ETH sur des échanges décentralisés et principalement regroupés à l'adresse 0x59eff548cd9bcfbc169b6340f734e442c764a814, qui détient actuellement 4 763,67 ETH (d'une valeur d'environ 7,95 millions de dollars). De plus, l'adresse amont 0x9e995952ef7665b243eeef0693acd7fed7150504 détient 21 739 098,74 $H (d'une valeur d'environ 3,37 millions de dollars), et 0xbeef02961503351625926ea9a11ae13b29f5c555 détient environ 260 000 dollars d'ETH.

Les tokens $H mintés sur BNB Chain ont été échangés contre des BNB sur un échange décentralisé ; la majeure partie des fonds (environ 16,1 millions de dollars) reste actuellement détenue à l'adresse 0x6aa22cb8420e94fc2119364b4c7885710ae753bb, tandis que l'adresse aval 0xad7baae94959317929723a277694f3ecbd7358e1 détient environ 880 000 dollars de BNB, sans autre transfert effectué.

Au moment de la rédaction, la création de jetons $H sur BNB Chain n'a pas encore été arrêtée, et Humanity Protocol n'a pas fourni de justification supplémentaire concernant la signature d'une mise à jour malveillante par les portefeuilles multisig du 4/7 et du 3/5. Beosin Trace a ajouté les adresses concernées à sa surveillance et suit continuellement le parcours des fonds de l'attaquant.

Beosin, l'une des premières entreprises mondiales spécialisées dans la vérification formelle pour la sécurité blockchain, propose une offre complète centrée sur la sécurité et la conformité. Avec des bureaux dans plus de 10 pays et régions, ses services couvrent l'audit de sécurité des codes avant le déploiement de projets, la surveillance et la prévention des risques sécuritaires en temps réel, le recouvrement d'actifs volés, la lutte contre le blanchiment d'argent (AML) pour les actifs virtuels, ainsi que des évaluations de conformité adaptées aux réglementations locales — le tout sous forme de solutions « tout-en-un » pour la conformité blockchain et les services de sécurité. N'hésitez pas à nous contacter.