Humanity Protocol заявила о том, что компрометация ноутбука сотрудника позволила злоумышленникам захватить контроль над мостом, обновить контракты и похитить более $36 миллионов в токенах H.
В обновлении информации об инциденте во вторник протокол сообщил, что атака в понедельник затронула токен H в сетях Ethereum и BNB Chain. Команда заявила, что было скомпрометировано три из шести ключей Gnosis Safe от владельцев, что позволило злоумышленникам взять под контроль администрирование моста в обеих сетях.
Получив контроль, злоумышленники изменили контракты моста на различные вредоносные версии, сообщила Humanity. В Ethereum они вывели около 141,2 миллиона токенов. В BSC они добавили функцию, позволяющую создавать неограниченное количество токенов, а затем выпустили 200 миллионов токенов непосредственно на свой кошелек.
Основатель Humanity Terence Kwok рассказал Cointelegraph, что у проекта были мультиподписные средства контроля, распределенные между четырьмя лицами, но некоторые ключи могли быть раскрыты во время настройки.
«Мы считаем, что произошло следующее: некоторые из ключей случайно были сохранены на скомпрометированном устройстве», — сказал Kwok Cointelegraph.
Он заявил, что Humanity использует «лицензированного хранителя для основной части казначейства токенов» и MPC для операционного казначейства, но «для определенных контрактов мультиподписные ключи были настроены в одном месте, а затем распространены», оставив некоторые ключи, сохраненные на скомпрометированном устройстве.
Инцидент показывает, как скомпрометированная конечная точка может стать кризисом на уровне протокола, когда различные органы власти сосредоточены за небольшим количеством ключей. Humanity заявила, что приостановила депозиты и снятия средств с пострадавших мостов и работает с биржами и заинтересованными сторонами для минимизации ущерба и изучения вариантов восстановления.
Токен H от Humanity Protocol упал более чем на 85% после того, как проект раскрыл компрометацию закрытого ключа. В то время Kwok предупредил пользователей не взаимодействовать с мостом или пулами ликвидности.
Источник: Humanity Protocol
Эксперты по безопасности изучают схему взлома
Этот случай привлек внимание исследователей блокчейна в отношении того, была ли атака чисто внешней компрометацией или связана с необычной активностью токенов перед предстоящей разблокировкой, как отметили некоторые участники сообщества здесь.
Исследователь блокчейна ZachXBT изначально задал вопрос, связаны ли деятельность маркет-мейкера и внебиржевая (OTC) активность Humanity с взломом. Однако позже он сообщил, что после дальнейшего анализа деятельность маркет-мейкера и OTC, похоже, была независима от компрометации закрытого ключа.
Hakan Unal, старший руководитель группы операций безопасности в Cyvers, рассказал Cointelegraph, что схема onchain может выглядеть похоже как в случае настоящей компрометации, так и смоделированного события, поскольку злоумышленник обладает законными правами администратора в обоих случаях.
«Что их отличает, так это сопутствующее поведение», — сказал Unal. «Настоящая компрометация обычно показывает скорость и импровизацию: средства быстро переводятся на новые кошельки, обмен по плохим ценам, использование миксеров и отсутствие инсайдерского времени».
В отличие от этого, Unal заявил, что смоделированный инцидент может показать подозрительное время вблизи разблокировок или вестингов, сконцентрированное предложение, упорядоченное движение средств, которое в конечном итоге направляется к связанным с командой адресам или маркет-мейкерам.
«На данный момент доказательства смешанные, поэтому вопрос остается открытым», — добавил он.
Исследователь предполагает, что инцидент Humanity был скоординирован
Между тем, ведущий исследователь Allium Labs Elton Shehdula сообщил, что схема onchain взлома указывает на потенциально спланированную и скоординированную операцию, а не на случайного оппортуниста.
Финансирование кошельков и график времени. Источник: Allium Labs
Shehdula заявил, что кошельки финансировались с биржи и миксера за несколько недель до этого, полномочия по созданию токенов «прогревались» за дни до атаки, а дампинг происходил одновременно в двух сетях.
Он сказал, что уровень подготовки и доступа соответствует либо «инсайдеру», либо внешнему лицу, которое тихо держало скомпрометированный ключ в течение некоторого времени.
