3
Humanity Protocol erläuterte, wie Angreifer in der Lage waren, mehr als 36 Millionen US-Dollar seines H-Tokens zu stehlen, und die Ursache lag in einer schwerwiegenden Sicherheitslücke bei der Schlüsselverwaltung.
In einem Vorfall-Update, das mit CoinDesk geteilt wurde, erklärte das dezentrale Identitätsprojekt, dass die Sicherheitsverletzung begann, als der Laptop eines Mitarbeiters kompromittiert wurde. Das Gerät enthielt mehrere Schlüssel, die die Token-Brücken des Projekts kontrollierten, die Werkzeuge, die H (und andere Token) zwischen Blockchains bewegen.
Diese Bridges liefen über Multisignatur-Wallets, die eine Anzahl separater Schlüssel benötigen, um Änderungen zu genehmigen. Ein Multisignatur-Wallet soll die Schlüssel auf verschiedene Personen und Geräte verteilen, sodass keine einzelne Maschine Gelder bewegen kann.
In diesem Fall wurden alle Schlüssel auf einem einzigen Gerät gespeichert, sodass ein Kompromiss dem Angreifer ermöglichte, die Genehmigungsschwelle auf beiden Ketten zu überschreiten, sagte Humanity.
Der Angreifer erlangte drei der sechs Schlüssel, die das Admin-Konto der Brücke auf Ethereum kontrollieren, was ausreichte, um die Kontrolle über das mit der Bereitstellung des Projekts im Netzwerk verbundene System zu übernehmen.
Der Angreifer übertrug anschließend das Eigentum auf seine eigene Wallet, tauschte den Code der Brücke gegen eine bösartige Version aus und hab in einer Transaktion etwa 141 Millionen H abgezogen.
In einer Telegram-Nachricht an CoinDesk erklärte Humanity-Gründer Terence Kwok, dass das Team eine Multisig-Brieftasche über vier Personen eingerichtet habe (so wie es sein sollte).
Die Menschheit vermutet, dass „einige der Schlüssel während der Einrichtung versehentlich auf einem kompromittierten Gerät gesichert wurden“, erklärte Kwok. „Wir nutzen einen lizenzierten Verwahrer für den Großteil des Token-Treasury, MPC für das Operations-Treasury, und für bestimmte Verträge wurden Multisig-Schlüssel an einem Ort eingerichtet und anschließend verteilt.」
"Leider wurden in diesem Szenario die Schlüssel auf einem kompromittierten Gerät gesichert," sagte er.
Der Angreifer führte ähnliche Schritte auf der BNB Chain mit drei von fünf Schlüsseln durch. Diesmal wurde ein Code mit einer unbegrenzten Mint-Funktion installiert, die die Erstellung von Token nach Belieben ermöglichte, und etwa 200 Millionen neue H direkt auf ihre Wallet geprägt.
Die Menschheit hat seitdem die Teamseite entfernt von seiner Website. Das Projekt teilte mit, dass Ein- und Auszahlungen auf den betroffenen Brücken eingestellt wurden und derzeit mit Börsen und der Polizei zusammenarbeitet, um Gelder zurückzuerlangen.
Humanity sammelte im vergangenen Jahr 20 Millionen US-Dollar von Pantera Capital und Jump Crypto bei einer Bewertung von 1,1 Milliarden US-Dollar ein.
ZachXBT, ein prominenter Onchain-Ermittler, erklärte, dass die Schlüsselkompromittierung und eine separate Runde verdächtigen Market-Makings des Tokens nicht miteinander verbunden seien.
Er äußerte auch Bedenken hinsichtlich des Handelns des Tokens in den Wochen vor dem Sicherheitsvorfall, vor einer großen geplanten Token-Freigabe, da die Preise des H-Tokens innerhalb von zwei Wochen von 20 Cent auf 70 Cent anstiegen.
Der Token hat einen Teil des verlorenen Bodens zurückgewonnen. Nach einem Rückgang auf etwa 5 Cent während des Angriffs erholte er sich auf rund 20 Cent, laut Daten von CoinGecko. Er liegt weiterhin deutlich unter dem ungefähr vor dem Vorfall erreichten Niveau von 67 Cent.
