پروتکل هومنیتی (Humanity Protocol) فاش کرده است که بیش از ۳۶ میلیون دلار توکن H پس از اینکه مهاجمان چندین کلید مدیریتی را به خطر انداخته و کنترل زیرساخت پل (bridge infrastructure) را در سراسر اتریوم و BNB Smart Chain به دست گرفتند، به سرقت رفته است.

طبق به‌روزرسانی حادثه پروتکل هومنیتی در ۹ ژوئن، حمله پس از به خطر افتادن لپ‌تاپ یک کارمند آغاز شد و به مهاجم اجازه داد به دارندگان کلیدهای مرتبط با سیستم‌های مدیریت پل پروژه دسترسی پیدا کند.

این افشاگری جزئیات بیشتری را در مورد بیانیه قبلی ترنس کواک، بنیان‌گذار و مدیرعامل هومنیتی، ارائه می‌دهد که تأیید کرده بود کلیدهای خصوصی متعلق به یکی از اعضای بنیاد هومنیتی به خطر افتاده‌اند. 

در آن زمان، پروژه به کاربران هشدار داد که از پل هومنیتی و استخرهای نقدینگی مرتبط با آن اجتناب کنند، در حالی که تحقیقات در حال انجام بود.

به خطر افتادن کنترل‌های پل، سرقت و ضرب توکن را ممکن ساخت

جزئیات منتشر شده توسط پروتکل هومنیتی نشان می‌دهد که سه از شش کلید مالک Gnosis Safe که ProxyAdmin پل Hyperlane را در اتریوم کنترل می‌کردند، به خطر افتاده بودند. مهاجم با استفاده از این اعتبارنامه‌ها، مالکیت قرارداد ProxyAdmin را به کیف پولی تحت کنترل خود منتقل کرد، قرارداد پل را به یک پیاده‌سازی مخرب ارتقا داد و حدود ۱۴۱.۲ میلیون توکن H را در یک تراکنش واحد منتقل کرد.

در BNB Smart Chain، مهاجم سه از پنج کلید مالک Safe را به خطر انداخت و تصاحب مشابهی را در قرارداد ProxyAdmin پل انجام داد. پروتکل هومنیتی گفت که مهاجم سپس یک قرارداد مخرب حاوی یک تابع ضرب نامحدود (unlimited mint function) را مستقر کرد و ۲۰۰,۰۰۰,۰۰۵ توکن H را در دو تراکنش جداگانه ایجاد (mint) کرد.

پیشتر در ۹ ژوئن، تحلیلگر آن‌چین (on-chain) Specter گزارش داد که بیش از ۱۷ کیف پول متصل به پروتکل هومنیتی یا در تعامل با آن، تخلیه شده‌اند. برآوردهای اولیه خسارات را نزدیک به ۱۹ میلیون دلار قرار داده بودند، قبل از اینکه ردیاب‌های بلاکچین بعداً این رقم را به بالای ۳۰ میلیون دلار افزایش دهند.

داده‌های نظارتی بلاکچین که توسط Specter ذکر شده، نشان داد که مهاجم بخشی از توکن‌های سرقت شده را فروخته و قسمتی از عواید را به اتریوم تبدیل کرده است. طبق به‌روزرسانی تلگرام تحلیلگر، تقریباً ۲۳.۷ میلیون دلار به ETH تبدیل شده بود، در حالی که حدود ۷.۹ میلیون دلار به صورت توکن‌های H باقی مانده بود.

نظارت جداگانه از Blockaid نشان داده بود که مهاجم حقوق مدیر پروکسی (proxy administrator) را در BNB Smart Chain به دست آورده و ۱۰۰ میلیون توکن H را ضرب کرده است. پروتکل هومنیتی در آن زمان این ادعا را تأیید نکرده بود، اگرچه آخرین گزارش حادثه اکنون تأیید می‌کند که مهاجم کنترل مدیریتی را به دست آورده و توکن H اضافی را در شبکه ضرب کرده است.

تیم با صرافی‌ها و نهادهای مجری قانون همکاری می‌کند

در آخرین بیانیه خود، پروتکل هومنیتی اعلام کرد که سپرده‌گذاری‌ها و برداشت‌ها از طریق پل‌های آسیب‌دیده متوقف شده‌اند، در حالی که تلاش‌های واکنش ادامه دارد.

این پروژه گفت که در حال هماهنگی با صرافی‌ها و سایر طرف‌ها برای کاهش آسیب بیشتر است. پروتکل هومنیتی علاوه بر یک تحقیق داخلی، اعلام کرد که با مقامات پلیس نیز در تلاش برای بررسی این نقض و بازیابی بخشی از وجوه سرقت شده همکاری می‌کند.

«ما می‌دانیم که کلمات نمی‌توانند این مشکل را حل کنند، اما ما حضور خواهیم داشت، شما را در جریان امور قرار خواهیم داد و برای بازگرداندن اعتمادی که به ما کرده‌اید، تلاش خواهیم کرد. ما جایی نمی‌رویم و همچنان به ساختن ادامه می‌دهیم.»

پیش از انتشار آخرین تجزیه و تحلیل فنی، کواک گفت که تیم با متخصصان امنیتی و شرکای صرافی همکاری می‌کند. در آن مرحله هیچ طرح بازپرداخت یا چارچوب بازیابی اعلام نشده بود.

واکنش بازار به این بهره‌برداری (exploit) شدید بود، به طوری که توکن بومی پروتکل در پی این حادثه بیش از ۹۰ درصد سقوط کرد.

Source: crypto.news

پروتکل هومنیتی یک شبکه هویتی مبتنی بر zkEVM را اداره می‌کند که از اثبات‌های دانش صفر (zero-knowledge proofs) و بیومتریک کف دست برای تأیید کاربران بدون ذخیره اطلاعات شخصی آنها در پایگاه‌های داده هویت متمرکز استفاده می‌کند.

تیم گفت که یک گزارش کامل پس از حادثه (post-mortem) پس از پیشرفت بیشتر تحقیقات منتشر خواهد شد.