Humanity Protocol повідомила, що цільова фішингова атака на одного зі своїх директорів призвела до крадіжки приватних ключів, використовуваних у компрометації токена $H від 8 червня. Це призвело до постійної компрометації розгортання проекту на ланцюзі BNB Chain.
У новому оновленні щодо інциденту, опублікованому 12 червня, команда поділилася результатами незалежного розслідування, проведеного Quantstamp.
Було встановлено, що нападник використав вкрадені адміністративні облікові дані для оновлення контрактів. Потім він перемістив токени через Ethereum та випустив нові $H на BNB Smart Chain.
Нападник пізніше продав токени через Uniswap і PancakeSwap протягом приблизно восьми годин. Цей крок серйозно пошкодив ліквідність і спричинив різке падіння ринкової ціни токена.
Атака, як повідомляється, почалася з фальшивого листа Bithumb
Згідно з Humanity Protocol, компрометація розпочалася з фішингового листа, який видає себе за криптовалютну біржу Bithumb.
Згідно з повідомленнями, цільовий директор спілкувався з Bithumb до отримання того, що виглядало як легітимне оновлення зі зловмисним вкладенням.
Команда сказала, що відкриття файлу встановило зловмисне ПЗ із віддаленим доступом, яке надало атакуючому повний контроль над робочим столом комп’ютера. Також це було зроблено без активування захисту кінцевих точок.
З цим доступом, за припущенням, нападник скопіював дані гаманця та приватні ключі, збережені на пристрої, перед виконанням атаки в ланцюжку.
Quantstamp зазначила, що інструменти шкідливого ПЗ та шаблони підпису сертифікатів, виявлені під час розслідування, були «характерними для втручань, пов’язаних з КНДР». Однак у звіті не було зроблено остаточного висновку щодо винуватця.
Зловмисники оновили контракти та випустили нові $H
Humanity Protocol повідомив, що нападник використав вкрадені ключі одного зі своїх директорів для оновлення контракту на Ethereum та переміщення приблизно 141,18 мільйона токенів $H.
На BNB Chain зловмисник, як повідомляється, отримав контроль над контрактом ProxyAdmin, що дозволило йому безпосередньо створити додаткові токени $H.
Нові випущені токени були продані у ліквідні пули на Ethereum та BSC, що посилило збитки для тримачів та постачальників ліквідності.
Команда підкреслила, що інцидент не був спричинений вразливістю в самих смартконтрактах.
Замість цього компроміс виник через несанкціонований адміністративний доступ, отриманий через фішингову атаку.
Ethereum заморожено, а розгортання BSC скасовано
Інцидент також призвів до розколу між реалізаціями Humanity Protocol на Ethereum та BSC.
Згідно з оновленням, токен-контракт ethereum було успішно заморожено за допомогою окремого чистого мультипідписного гаманця, яким атакувач ніколи не керував.
Проект також повідомив, що канонічний міст Humanity Mainnet залишається незатронутим.
Однак розгортання BNB Chain зараз вважається постійно скомпрометованим. Це пов’язано з тим, що атакувач зберігає адміністративний контроль і може продовжувати створювати нові токени.
«Це має бути залишено», — написав командою щодо розгортання BSC.
Інцидент підкреслює зростаючі занепокоєння в цілій криптовалютній індустрії щодо управління ключами управління, операційної безпеки та атак з використанням соціальної інженерії.
Фінальний підсумок
- Humanity Protocol повідомила, що фішингова атака, яка підробляла Bithumb, призвела до крадіжки ключів директорів, використаних у експлоїті $H від 8 червня.
- Проект заморозив свій розгортання ethereum, але повідомив, що розгортання на BNB Chain тепер доведеться відмінити, оскільки атакувач все ще контролює дозволи на мінт.