Humanity Protocol gab bekannt, dass Angreifer nach einer Kompromittierung des Laptop eines Mitarbeiters, bei der Schlüssel offengelegt wurden, die mit der Brückenadministration verknüpft waren, mehr als 36 Millionen US-Dollar in H-Tokens stahlen. Drei der sechs Gnosis-Safe-Owner-Keys wurden kompromittiert, wodurch die Angreifer die Kontrolle erhielten, um die Bridge-Contracts in bösartige Versionen zu upgraden. Auf Ethereum leerten die Angreifer rund 141,2 Millionen H-Tokens; auf BNB Chain haben sie 200 Millionen H-Tokens direkt an ihre eigene Wallet gemintet, nachdem sie die Funktion zum unbegrenzten Erstellen von Tokens hinzugefügt hatten.

Angreifer kompromittierten drei Gnosis-Safe-Keys, um Bridge-Contracts zu kontrollieren

In einem Incident-Update erklärte Humanity Protocol, dass der Angriff das H-Token sowohl auf Ethereum als auch auf BNB Chain betraf. Drei von sechs Gnosis-Safe-Owner-Keys waren kompromittiert, wodurch Angreifern ausreichend Kontrolle für die Übernahme der Brückenadministration gegeben wurde. Sobald die Kontrolle erlangt war, haben sie die Bridge-Contracts in bösartige Versionen umgerüstet.

Auf Ethereum haben die Angreifer rund 141,2 Millionen H-Tokens abgezogen. Auf BNB Chain fügten sie eine Funktion hinzu, die die unbegrenzte Tokenerstellung erlaubt, und minteten anschließend 200 Millionen H-Tokens direkt an ihre eigene Wallet. Humanity-Gründer Terence Kwok sagte, das Projekt nutze Multisignature-Kontrollen über vier Personen, jedoch könnten einige Keys während der Einrichtung offengelegt worden sein. „Was wir glauben, dass passiert ist: Einige der Keys wurden versehentlich auf ein kompromittiertes Gerät gesichert“, sagte Kwok.

Laptopsicherung legte während der Einrichtung mehrere Signing-Keys offen

Kwok sagte, Humanity nutze für den Großteil des Token-Treasury einen „lizenzierten Custodian“ und MPC für das Operational-Treasury. Er sagte jedoch auch, dass „für bestimmte Contracts Multisig-Keys an einem Ort eingerichtet und dann verteilt“ wurden, wodurch einige Keys auf einem kompromittierten Gerät gesichert waren.

Der Unterschied ist wichtig, weil Treasury-Custody und operative Kontrollen zwar stark wirken können, die Brückenadministration aber anfällig bleiben kann, wenn Rechte zum Upgrade von Contracts, Mint-Befugnisse oder Notfallkontrollen von offengelegten Keys abhängen. In diesem Fall haben die Angreifer nicht nur vorhandene Assets bewegt – sie änderten die Contracts selbst und schufen auf einer Kette ein neues Token-Angebot.

Blockchain-Ermittler stellten zunächst Market-Maker-Aktivität infrage

Das H-Token fiel um mehr als 85 %, nachdem Humanity den Kompromittierungsfall des privaten Schlüssels offengelegt hatte. Der Einbruch zog die Aufmerksamkeit von Blockchain-Ermittlern auf sich, teilweise weil einige Community-Mitglieder bezweifelten, ob der Angriff rein extern war oder mit ungewöhnlicher Token-Aktivität vor einer bevorstehenden Freischaltung zusammenhing.

Der Blockchain-Ermittler ZachXBT stellte zunächst infrage, ob der Market Maker und die Over-the-Counter-Aktivität von Humanity mit dem Exploit zusammenhingen. Später sagte er, dass nach weiterer Analyse der Market Maker und die OTC-Aktivität unabhängig von der Kompromittierung des privaten Schlüssels wirkten.

Cyvers Senior Security Operations Lead Hakan Unal sagte, das Onchain-Verhalten könne anfangs ähnlich aussehen wie bei einer echten Kompromittierung und einem inszenierten Vorfall, weil der Angreifer in beiden Fällen über legitime Admin-Rechte verfüge. „Was sie unterscheidet, ist das umgebende Verhalten“, sagte Unal. „Eine echte Kompromittierung zeigt normalerweise Tempo und Improvisation: Geld wird schnell auf frische Wallets gesendet, Swaps zu schlechten Preisen, Mixer-Nutzung und kein Insider-Timing.“

Unal sagte, ein inszenierter Vorfall könne stattdessen auffälliges Timing kurz vor Freischaltungen oder Vestings zeigen, konzentriertes Angebot, geordnete Bewegungen oder Erträge, die sich schließlich zurück in Richtung von Adressen bewegen, die mit dem Team verbunden sind, oder zu Market Makern. „Aktuell ist die Evidenz gemischt, weshalb die Frage offen bleibt“, fügte er hinzu.

Elton Shehdula, Research Lead bei Allium Labs, sagte, dass das Onchain-Muster des Exploits auf eine möglicherweise geplante und koordinierte Operation hindeute und nicht auf einen einzelnen opportunistischen Akteur. Er sagte, Wallets seien Wochen im Voraus aus einer Börse und einem Mixer finanziert worden, die Mint-Befugnis sei „Tage vor dem Angriff aufgewärmt“ gewesen, und der Verkauf sei zeitgleich über 2 Ketten erfolgt. Shehdula sagte, die Einrichtung sei konsistent mit entweder einem „Insider oder einem externen Akteur“, der den kompromittierten Key eine Zeit lang still innehatte.

Humanity Protocol stoppte Bridge-Einzahlungen und -Auszahlungen

Humanity stoppte Einzahlungen und Auszahlungen zu den betroffenen Bridges und erklärte, dass man mit Börsen und relevanten Parteien zusammenarbeitet, um den Schaden zu reduzieren und Wiederherstellungsoptionen zu prüfen. Kwok warnte Nutzer, nach der Offenlegung der Kompromittierung nicht mit der Bridge oder Liquiditätspools zu interagieren.

FAQ

Wie haben Angreifer 36 Millionen US-Dollar von Humanity Protocol gestohlen?

Angreifer kompromittierten drei von sechs Gnosis-Safe-Owner-Keys über den Laptop eines Mitarbeiters und gewannen damit die Kontrolle über die Brückenadministration auf Ethereum und BNB Chain. Sie aktualisierten die Bridge-Contracts in bösartige Versionen, leerten 141,2 Millionen H-Tokens auf Ethereum und minteten 200 Millionen H-Tokens auf BNB Chain.

Warum führte ein kompromittierter Laptop zu einer Krise auf Protokoll-Ebene?

Humanity-Gründer Terence Kwok sagte, einige Multisig-Keys seien an einem Ort eingerichtet und anschließend verteilt worden, sodass Keys versehentlich auf einem kompromittierten Gerät gesichert waren. Dadurch konnten Angreifer die Rechte für Brücken-Upgrades und die Mint-Befugnis kontrollieren, wodurch sie Contracts ändern und eine neue Token-Versorgung erzeugen konnten.

Welche Aktionen hat Humanity Protocol nach dem Angriff durchgeführt?

Humanity stoppte Einzahlungen und Auszahlungen zu den betroffenen Bridges und erklärte, dass man mit Börsen und relevanten Parteien zusammenarbeitet, um den Schaden zu reduzieren und Wiederherstellungsoptionen zu prüfen. Das Protokoll warnte Nutzer davor, nach der Offenlegung der Kompromittierung mit der Bridge oder Liquiditätspools zu interagieren.

View Source

Disclaimer: The information on this page may come from third-party sources and is for reference only. It does not represent the views or opinions of Gate and does not constitute any financial, investment, or legal advice. Virtual asset trading involves high risk. Please do not rely solely on the information on this page when making decisions. For details, see the Disclaimer.