Humanity Protocol повідомив, що атакувальники викрали понад $36 мільйонів у токенах H після того, як компрометація ноутбука співробітника розкрила ключі, прив’язані до адміністрування мосту в мережах Ethereum і BNB Chain. Три з шести ключів власників Gnosis Safe були скомпрометовані, що дало атакувальникам контроль для оновлення контрактів мосту до зловмисних версій. В Ethereum атакувальники вивели близько 141,2 мільйона токенів H; у BNB Chain вони карбували 200 мільйонів токенів H напряму на свій гаманець після додавання функції необмеженого створення токенів.
Атакувальники скомпрометували три ключі Gnosis Safe, щоб контролювати контракти мосту
У оновленні інциденту Humanity Protocol заявила, що атака торкнулася токена H у обох мережах Ethereum і BNB Chain. Три з шести ключів власників Gnosis Safe були скомпрометовані, надавши атакувальникам достатній контроль для перехоплення адміністрування мосту. Після отримання контролю вони оновили контракти мосту до зловмисних версій.
В Ethereum атакувальники вивели близько 141,2 мільйона токенів H. У BNB Chain вони додали функцію, що дозволяє необмежене створення токенів, а потім карбували 200 мільйонів токенів H напряму на власний гаманець. Засновник Humanity Теренс Квок сказав, що проєкт використовував багатоключовий (multisignature) контроль між 4 особами, але зазначив, що деякі ключі могли бути розкриті під час налаштування. «Що, як ми вважаємо, сталося — деякі ключі були випадково збережені в резервній копії на компрометованому пристрої», — сказав Квок.
Резервна копія ноутбука розкрила кілька ключів під час налаштування підписів
Квок сказав, що Humanity використовує «ліцензованого кастодіана для більшої частини казначейства токенів» і MPC для казначейства операцій. Водночас він також зазначив, що «для певних контрактів ключі multisig були налаштовані в одному місці, а потім розподілені», через що частина ключів опинилася в резервній копії на компрометованому пристрої.
Це важливо, бо попри те, що кастодія казначейства й операційні контроли можуть виглядати надійно, адміністрування мосту може лишатися вразливим, якщо права на оновлення контрактів, повноваження карбування або екстрені контроли залежать від розкритих ключів. У цьому випадку атакувальники не просто перемістили наявні активи — вони змінили самі контракти та створили нову пропозицію токенів в одній із мереж.
Дослідники блокчейну спочатку ставили під сумнів активність маркет-мейкера
Токен H впав більш ніж на 85% після того, як Humanity розкрила компрометацію приватного ключа. Падіння викликало пильну увагу з боку дослідників блокчейну, частково тому, що деякі учасники спільноти ставили питання, чи була атака суто зовнішньою, чи пов’язаною з незвичною активністю токенів напередодні майбутнього розблокування.
Дослідник блокчейну ZachXBT спочатку поставив під сумнів, чи пов’язані ринковий маркет-мейкер Humanity та позабіржова (over-the-counter) активність із експлойтом. Пізніше він заявив, що після додаткового аналізу активність маркет-мейкера та OTC виглядає незалежною від компрометації приватного ключа.
Лідер відділу security operations у Cyvers Хакан Унал заявив, що поведінка в ончейні спочатку може виглядати схожою як у разі справжньої компрометації, так і у разі інсценованого інциденту, адже атакувальник в обох випадках має легітимні права адміністратора. «Що відрізняє їх — це оточуюча поведінка», — сказав Унал. «Справжня компрометація зазвичай демонструє швидкість і імпровізацію: кошти терміново перекидаються на нові гаманці, свопи відбуваються за поганими цінами, використовується міксер, і немає внутрішнього таймінгу».
Унал сказав, що натомість інсценований інцидент може проявлятися підозрілим таймінгом біля розблокувань або вестингу, концентрацією пропозиції, впорядкованим переміщенням або надходженнями, які з часом спрямовуються назад до адрес, пов’язаних із командою, або до маркет-мейкерів. «Зараз докази змішані, і тому питання лишається відкритим», — додав він.
Лідер досліджень Allium Labs Елтон Шедгула сказав, що ончейн-патерн експлойта вказує на потенційно сплановану й скоординовану операцію, а не на самотнього опортуніста. Він заявив, що гаманці фінансувалися з біржі та міксера за тижні до атаки, повноваження на карбування були «розігріті» за дні до атаки, а розпродаж відбувся одночасно на 2 мережах. Шедгула сказав, що налаштування узгоджується або з «інсайдером, або з зовнішнім актором», який тихо тримав скомпрометований ключ певний час.
Humanity Protocol зупинила депозити й виведення через міст
Humanity зупинила депозити та виведення на постраждалих мостах і заявила, що працює з біржами та пов’язаними сторонами, щоб зменшити шкоду та переглянути варіанти відновлення. Квок попередив користувачів не взаємодіяти з мостом або пуллами ліквідності після того, як про компрометацію було розкрито.
FAQ
Як атакувальники вкрали $36 мільйонів у Humanity Protocol?
Атакувальники скомпрометували три з шести ключів власників Gnosis Safe через ноутбук співробітника, отримавши контроль над адмініструванням мосту в Ethereum і BNB Chain. Вони оновили контракти мосту до зловмисних версій, вивели 141,2 мільйона токенів H у Ethereum та карбували 200 мільйонів токенів H у BNB Chain.
Чому один скомпрометований ноутбук призвів до кризи на рівні протоколу?
Засновник Humanity Теренс Квок сказав, що деякі ключі multisig були налаштовані в одному місці, а потім розподілені, залишивши ключі випадково збереженими в резервній копії на компрометованому пристрої. Це дозволило атакувальникам контролювати права на оновлення мосту та повноваження на карбування, даючи їм змогу змінити контракти й створити нову пропозицію токенів.
Які дії зробив Humanity Protocol після атаки?
Humanity зупинила депозити й виведення на постраждалих мостах і заявила, що працює з біржами та пов’язаними сторонами, щоб зменшити шкоду та переглянути варіанти відновлення. Протокол попередив користувачів не взаємодіяти з мостом або пулами ліквідності після того, як про компрометацію було розкрито.
