Humanity Protocol a dezvăluit că jetoane H în valoare de peste 36 de milioane de dolari au fost furate după ce atacatorii au compromis mai multe chei administrative și au preluat controlul infrastructurii de bridge de pe Ethereum și BNB Smart Chain.
Conform actualizării privind incidentul din 9 iunie a Humanity Protocol, atacul a avut loc după ce laptopul unui angajat a fost compromis, permițând atacatorului să obțină acces la deținătorii de chei legați de sistemele de administrare a bridge-ului proiectului.
Dezvăluirea extinde o declarație anterioară a fondatorului și CEO-ului Humanity, Terence Kwok, care confirmase că cheile private aparținând unui membru al Humanity Foundation au fost compromise.
La momentul respectiv, proiectul a avertizat utilizatorii să evite bridge-ul Humanity și pool-urile de lichiditate aferente, în timp ce o investigație era în curs.
Detaliile publicate de Humanity Protocol arată că trei dintre cele șase chei de proprietar Gnosis Safe care controlau Hyperlane bridge ProxyAdmin pe Ethereum au fost compromise. Folosind aceste credențiale, atacatorul a transferat proprietatea contractului ProxyAdmin către un portofel aflat sub controlul său, a actualizat contractul bridge-ului la o implementare malițioasă și a mutat aproximativ 141,2 milioane de jetoane H într-o singură tranzacție.
Pe BNB Smart Chain, atacatorul a compromis trei dintre cele cinci chei de proprietar Safe și a efectuat o preluare similară a contractului ProxyAdmin al bridge-ului. Humanity Protocol a declarat că atacatorul a implementat apoi un contract malițios care conținea o funcție de emitere nelimitată și a creat 200.000.005 jetoane H în două tranzacții separate.
Mai devreme, pe 9 iunie, analistul on-chain Specter a raportat că peste 17 portofele conectate la sau care interacționau cu Humanity Protocol au fost golite. Estimările inițiale au plasat pierderile la aproximativ 19 milioane de dolari, înainte ca ulterior trackerii blockchain să ridice cifra la peste 30 de milioane de dolari.
Datele de monitorizare blockchain citate de Specter au arătat că atacatorul a vândut o parte din jetoanele furate și a convertit o parte din încasări în Ethereum. Conform actualizării Telegram a analistului, aproximativ 23,7 milioane de dolari au fost schimbați în ETH, în timp ce aproximativ 7,9 milioane de dolari au rămas în jetoane H.
O monitorizare separată de la Blockaid sugerase că atacatorul a obținut drepturi de administrator proxy pe BNB Smart Chain și a emis 100 de milioane de jetoane H. Humanity Protocol nu confirmase această afirmație la momentul respectiv, deși cel mai recent raport de incident confirmă acum că atacatorul a obținut control administrativ și a emis jetoane H suplimentare în rețea.
În cea mai recentă declarație a sa, Humanity Protocol a anunțat că depunerile și retragerile prin bridge-urile afectate au fost oprite, în timp ce eforturile de răspuns continuă.
Proiectul a declarat că se coordonează cu bursele și alte părți pentru a reduce daunele suplimentare. Pe lângă o investigație internă, Humanity Protocol a declarat că lucrează și cu autoritățile poliției într-un efort de a investiga breșa și de a recupera o parte din fondurile furate.
„Știm că vorbele nu pot rezolva asta, dar ne vom prezenta, vă vom ține la curent și vom depune eforturi pentru a recâștiga încrederea pe care ne-ați acordat-o. Nu plecăm nicăieri și continuăm să construim.”
Înainte de publicarea celei mai recente analize tehnice, Kwok a declarat că echipa lucrează cu specialiști în securitate și parteneri de bursă. Niciun plan de rambursare sau cadru de recuperare nu fusese anunțat în acea etapă.
Reacția pieței la exploit a fost severă, jetonul nativ al protocolului prăbușindu-se cu peste 90% în urma evenimentului.
Sursa: crypto.news
Humanity Protocol operează o rețea de identitate bazată pe zkEVM care utilizează dovezi cu cunoștințe zero (zero-knowledge proofs) și biometrie palmară pentru a verifica utilizatorii fără a stoca informațiile personale ale acestora în baze de date de identitate centralizate.
Echipa a declarat că un raport post-mortem complet va fi publicat odată ce investigația va avansa.
