Humanity Protocol сообщила, что злоумышленники украли более $36 миллионов в токенах H после компрометации ноутбука сотрудника, в ходе которой были раскрыты ключи, привязанные к администрированию моста в Ethereum и BNB Chain. Были скомпрометированы три ключа из шести владельцев Gnosis Safe, что дало атакующим возможность обновить контракт(ы) моста до вредоносных версий. В Ethereum злоумышленники вывели около 141,2 миллиона токенов H; в BNB Chain они отчеканили 200 миллионов токенов H напрямую на свой кошелёк после добавления функции неограниченного создания токенов.
Злоумышленники скомпрометировали три ключа Gnosis Safe, чтобы контролировать контракты моста
В обновлении об инциденте Humanity Protocol заявила, что атака затронула токен H как в Ethereum, так и в BNB Chain. Три из шести ключей владельцев Gnosis Safe были скомпрометированы, предоставив злоумышленникам достаточный контроль для захвата администрирования моста. Получив контроль, они обновили контракты моста до вредоносных версий.
В Ethereum злоумышленники вывели около 141,2 миллиона токенов H. В BNB Chain они добавили функцию, позволяющую неограниченное создание токенов, затем отчеканили 200 миллионов токенов H напрямую на собственный кошелёк. Основатель Humanity Терренс Квок (Terence Kwok) сказал, что проект использовал мультиподписные (multisignature) контроли с участием 4 человек, но при настройке некоторые ключи могли быть раскрыты. «То, что, как мы считаем, произошло, — некоторые ключи были случайно сохранены в резервную копию на скомпрометированном устройстве», — сказал Квок.
Резервная копия ноутбука раскрыла несколько ключей подписи во время настройки
Квок сказал, что Humanity использует «лицензированного кастодиана для большей части казначейства токенов» и MPC для казначейства операций. Однако он также отметил, что «для некоторых контрактов ключи мультисиг (multisig) были настроены в одном месте, а затем распределены», из‑за чего часть ключей оказалась в резервной копии на скомпрометированном устройстве.
Разница важна, потому что казначейское хранение и операционные контроли могут выглядеть надёжно, но администрирование моста может оставаться уязвимым, если права на обновление контракта, полномочия на минт или аварийные контроли зависят от раскрытых ключей. В данном случае атакующие не только переместили существующие активы — они изменили сами контракты и создали новый объём токенов в одной из сетей.
Следователи по блокчейну сначала усомнились в активности маркет-мейкера
Токен H упал более чем на 85% после того, как Humanity раскрыла компрометацию приватного ключа. Обвал вызвал повышенное внимание со стороны исследователей блокчейна, отчасти потому, что некоторые участники сообщества задавались вопросом, была ли атака исключительно внешней или связанной с необычной активностью токена перед предстоящим разлоком.
Исследователь блокчейна ZachXBT первоначально поставил под сомнение, связаны ли маркет-мейкер Humanity и внебиржевая (over-the-counter, OTC) активность с эксплуатацией. Позже он сказал, что после дальнейшего анализа активность маркет-мейкера и OTC оказалась независимой от компрометации приватного ключа.
Старший руководитель security operations в Cyvers Хакан Унал (Hakan Unal) заявил, что поведение onchain поначалу может выглядеть похоже на реальную компрометацию и «поставленный» инцидент, поскольку в обоих случаях атакующий владеет легитимными правами администратора. «Отличает их окружающее поведение», — сказал Унал. «Настоящая компрометация обычно показывает скорость и импровизацию: средства быстро переводятся на свежие кошельки, свопы по плохим ценам, использование миксера и отсутствие инсайдерского тайминга».
По словам Унала, «поставленный» инцидент может, напротив, демонстрировать подозрительный тайминг рядом с разлоками или вестингом, сконцентрированное предложение, упорядоченное перемещение или поступления, которые в итоге направляются обратно на адреса, связанные с командой, или маркет-мейкеров. «Сейчас доказательства смешанные, поэтому вопрос остаётся открытым», — добавил он.
Ведущий исследователь Allium Labs Элтон Шехдула (Elton Shehdula) сказал, что onchain‑паттерн эксплуатации указывал на потенциально запланированную и скоординированную операцию, а не на действия одиночки-оппортуниста. Он отметил, что кошельки пополнялись с биржи и через миксер за недели до атаки, полномочие на минт было «прогрето» за дни до атаки, а распродажа происходила по 2 сетям одновременно. Шехдула сказал, что настройка была согласована с сценарием либо «инсайдера, либо внешнего актора», который тихо удерживал скомпрометированный ключ в течение некоторого времени.
Humanity Protocol приостановила депозиты и выводы по мосту
Humanity остановила депозиты и выводы на затронутых мостах и заявила, что работает с биржами и связанными сторонами, чтобы уменьшить ущерб и пересмотреть варианты восстановления. Квок предупредил пользователей не взаимодействовать с мостом или пулами ликвидности после того, как о компрометации было объявлено.
FAQ
Как злоумышленники украли $36 миллионов у Humanity Protocol?
Злоумышленники скомпрометировали три ключа из шести владельцев Gnosis Safe через ноутбук сотрудника, получив контроль над администрированием моста в Ethereum и BNB Chain. Они обновили контракты моста до вредоносных версий, вывели 141,2 миллиона токенов H в Ethereum и отчеканили 200 миллионов токенов H в BNB Chain.
Почему один скомпрометированный ноутбук привёл к кризису на уровне протокола?
Основатель Humanity Терренс Квок (Terence Kwok) сказал, что некоторые ключи мультисиг (multisig) были настроены в одном месте, а затем распределены, оставив ключи случайно сохранёнными в резервной копии на скомпрометированном устройстве. Это позволило атакующим контролировать права на обновление моста и полномочия на минт, давая им возможность менять контракты и создавать новый объём токенов.
Какие действия предприняла Humanity Protocol после атаки?
Humanity остановила депозиты и выводы на затронутых мостах и заявила, что работает с биржами и связанными сторонами, чтобы уменьшить ущерб и пересмотреть варианты восстановления. Протокол предупредил пользователей не взаимодействовать с мостом или пулами ликвидности после того, как о компрометации стало известно.
