
O Humanity Protocol divulgou que mais de US$ 36 milhões em tokens H foram roubados depois que invasores comprometeram múltiplas chaves administrativas e assumiram o controle da infraestrutura da ponte (bridge) entre Ethereum e BNB Smart Chain.
De acordo com a atualização de incidente de 9 de junho do Humanity Protocol, o ataque se originou depois que o laptop de um funcionário foi comprometido, permitindo que o invasor obtivesse acesso aos detentores de chaves ligados aos sistemas de administração da ponte do projeto.
A divulgação aprofunda uma declaração anterior do fundador e CEO da Humanity, Terence Kwok, que havia confirmado que chaves privadas pertencentes a um membro da Humanity Foundation foram comprometidas.
Na época, o projeto alertou os usuários para evitarem a ponte Humanity e os pools de liquidez relacionados enquanto uma investigação estava em andamento.
Detalhes divulgados pelo Humanity Protocol mostram que três das seis chaves de proprietário Gnosis Safe que controlavam o ProxyAdmin da ponte Hyperlane no Ethereum foram comprometidas. Usando essas credenciais, o invasor transferiu a propriedade do contrato ProxyAdmin para uma carteira sob seu controle, atualizou o contrato da ponte para uma implementação maliciosa e moveu cerca de 141,2 milhões de tokens H em uma única transação.
Na BNB Smart Chain, o invasor comprometeu três das cinco chaves de proprietário Safe e realizou uma aquisição semelhante do contrato ProxyAdmin da ponte. O Humanity Protocol afirmou que o invasor então implantou um contrato malicioso contendo uma função de cunhagem ilimitada e criou 200.000.005 tokens H em duas transações separadas.
No início de 9 de junho, o analista on-chain Specter relatou que mais de 17 carteiras conectadas ou interagindo com o Humanity Protocol foram esvaziadas. Estimativas iniciais colocavam as perdas em cerca de US$ 19 milhões antes que rastreadores de blockchain posteriores elevassem o número para acima de US$ 30 milhões.
Dados de monitoramento de blockchain citados por Specter mostraram que o invasor vendeu uma parte dos tokens roubados e converteu parte dos lucros em Ethereum. De acordo com a atualização do analista no Telegram, aproximadamente US$ 23,7 milhões foram trocados por ETH, enquanto cerca de US$ 7,9 milhões permaneceram em tokens H.
Um monitoramento separado da Blockaid havia sugerido que o invasor obteve direitos de administrador proxy na BNB Smart Chain e cunhou 100 milhões de tokens H. O Humanity Protocol não havia confirmado essa afirmação na época, embora o último relatório de incidente agora confirme que o invasor obteve controle administrativo e cunhou H adicionais na rede.
Em sua última declaração, o Humanity Protocol disse que depósitos e saques através das pontes afetadas foram interrompidos enquanto os esforços de resposta continuam.
O projeto disse que está coordenando com exchanges e outras partes para reduzir danos futuros. Juntamente com uma investigação interna, o Humanity Protocol afirmou que também está trabalhando com autoridades policiais em um esforço para investigar a violação e recuperar alguns dos fundos roubados.
“Sabemos que palavras não podem consertar isso, mas vamos aparecer, mantê-los informados e fazer o trabalho para reconquistar a confiança que depositaram em nós. Não vamos a lugar nenhum e continuamos a construir.”
Antes que o último detalhamento técnico fosse publicado, Kwok disse que a equipe estava trabalhando com especialistas em segurança e parceiros de exchange. Nenhum plano de reembolso ou estrutura de recuperação havia sido anunciado naquela fase.
A reação do mercado ao exploit foi severa, com o token nativo do protocolo despencando mais de 90% após o ocorrido.
Fonte: crypto.news
O Humanity Protocol opera uma rede de identidade baseada em zkEVM que usa provas de conhecimento zero e biometria de palma para verificar usuários sem armazenar suas informações pessoais em bancos de dados de identidade centralizados.
A equipe disse que um relatório post-mortem completo será divulgado assim que a investigação avançar.