„Humanity Protocol“ atskleidė, kad daugiau nei 36 milijonų dolerių vertės H žetonai buvo pavogti po to, kai užpuolikai pažeidė kelis administracinius raktus ir perėmė tilto infrastruktūrą per Ethereum ir BNB Smart Chain.
Santrauka
- „Humanity Protocol“ teigiama, kad užpuolikams pažeidus administracinius raktus, susijusius su Ethereum ir BNB Smart Chain tilto infrastruktūra, buvo pavogta daugiau nei 36 mln.
- Projekte teigiama, kad pažeidimas prasidėjo dėl pažeisto darbuotojo nešiojamojo kompiuterio, leidžiančio užpuolikams konfiskuoti tilto valdiklius ir nukalti 200 milijonų H žetonų BNB Smart Chain.
- Indėlių ir pinigų išėmimas iš paveiktų tiltų buvo sustabdytas, nes Žmonijos protokolas bendradarbiauja su mainais ir teisėsauga dėl atkūrimo pastangų.
Remiantis „Humanity Protocol“ birželio 9 d. incidento atnaujinimu, ataka kilo po to, kai buvo pažeistas darbuotojo nešiojamasis kompiuteris, todėl užpuolikas galėjo pasiekti raktų laikiklius, susietus su projekto tilto administravimo sistemomis.
Atskleidimas papildo ankstesnį „Humanity“ įkūrėjo ir generalinio direktoriaus Terence’o Kwoko pareiškimą, kuris patvirtino, kad buvo pažeisti „Humanity Foundation“ nariui priklausantys privatūs raktai.
Tuo metu projektas perspėjo vartotojus vengti „Humanity Bridge“ ir susijusių likvidumo fondų, kol vyksta tyrimas.
Sukompromituoti tilto valdikliai įgalino žetonų vagystę ir kaldinimą
„Humanity Protocol“ paskelbta informacija rodo, kad trys iš šešių „Gnosis Safe“ savininko raktų, valdančių „Hyperlane Bridge“ proxyAdmin „Ethereum“, buvo pažeisti. Naudodamas šiuos kredencialus, užpuolikas perdavė nuosavybės teisę į ProxyAdmin sutartį į savo valdomą piniginę, atnaujino tilto sutartį į kenkėjišką diegimą ir per vieną operaciją perkėlė apie 141,2 mln. H prieigos raktų.
„BNB Smart Chain“ programoje užpuolikas pažeidė tris iš penkių saugaus savininko raktų ir panašiai perėmė tilto „ProxyAdmin“ sutartį. „Humanity Protocol“ sakoma, kad užpuolikas tada įdiegė kenkėjišką sutartį su neribota monetų kalyklos funkcija ir dviem atskiromis operacijomis sukūrė 200 000 005 H žetonų.
Anksčiau, birželio 9 d., grandinės analitikas Spectre pranešė, kad buvo ištuštinta daugiau nei 17 piniginių, susijusių su Žmonijos protokolu arba su juo sąveikaujančių. Pradiniais skaičiavimais, nuostoliai buvo beveik 19 mln. USD, o vėliau „blockchain“ sekimo įrenginiai padidino skaičių virš 30 mln.
Blockchain stebėjimo duomenys, kuriuos cituoja Spectre, parodė, kad užpuolikas pardavė dalį pavogtų žetonų ir dalį pajamų konvertavo į Ethereum. Remiantis analitiko „Telegram“ atnaujinimu, maždaug 23,7 mln. USD buvo pakeista į ETH, o apie 7,9 mln. USD liko H žetonuose.
Atskiras „Blockaid“ stebėjimas parodė, kad užpuolikas gavo „BNB Smart Chain“ įgaliotojo administratoriaus teises ir nukaldino 100 milijonų H žetonų. „Humanity Protocol“ tuo metu nepatvirtino šio teiginio, nors naujausia incidento ataskaita dabar patvirtina, kad užpuolikas įgijo administracinę kontrolę ir tinkle nukaldino papildomą H.
Komanda, dirbanti su biržomis ir teisėsauga
Savo naujausiame pareiškime Žmonijos protokolas nurodė, kad įnešimai ir išėmimai per paveiktus tiltus buvo sustabdyti, kol tęsiasi atsakomosios pastangos.
Projektas teigė, kad derinamas su biržomis ir kitomis šalimis, kad sumažintų tolesnę žalą. Be vidinio tyrimo, „Humanity Protocol“ nurodė, kad ji taip pat bendradarbiauja su policijos institucijomis, siekdama ištirti pažeidimą ir susigrąžinti kai kurias pavogtas lėšas.
„Žinome, kad žodžiai to nepataisys, bet mes pasirodysime, informuosime jus ir dirbsime, kad susigrąžintume suteiktą pasitikėjimą mumis. Mes niekur nekeliausime ir vis dar kuriame.”
Prieš paskelbiant naujausią techninę gedimą, Kwokas teigė, kad komanda dirbo su saugumo specialistais ir mainų partneriais. Tuo metu nebuvo paskelbtas joks kompensavimo planas ar susigrąžinimo sistema.
Rinkos reakcija į išnaudojimą buvo smarki, o protokolo pradinis žetonas po to sumažėjo daugiau nei 90%.
Šaltinis: crypto.news
Humanity Protocol valdo zkEVM pagrįstą tapatybės tinklą, kuris naudoja nulinių žinių įrodymus ir delno biometrinius duomenis, kad patikrintų vartotojus nesaugodamas jų asmeninės informacijos centralizuotose tapatybės duomenų bazėse.
Grupė teigė, kad visa pomirtinė ataskaita bus paskelbta, kai tyrimas tęsis toliau.
