Um relatório forense do Humanity Protocol descobriu que uma única máquina de desenvolvedor infectada por malware mantinha backups de sete chaves privadas, dando ao invasor controle total sobre sua infraestrutura Ethereum e BNB Smart Chain.
O Humanity Protocol publicou um relatório de incidente forense na terça-feira rastreando sua violação de US$ 36 milhões até uma única máquina de desenvolvedor infectada por malware que armazenou backups de sete chaves privadas, dando a um invasor controle unilateral sobre a infraestrutura Ethereum e BNB Smart Chain do protocolo.
As chaves, armazenadas inadvertidamente no dispositivo durante o lançamento da rede principal da Humanity por volta de junho de 2025, incluíam a chave de carteira quente do administrador, três chaves de proprietário do Ethereum Safe e três chaves de proprietário do BNB Smart Chain Safe, de acordo com o relatório de incidente publicado na página Notion do protocolo.
Os investigadores dizem que o invasor obteve acesso root à máquina por meio de malware e, em seguida, extraiu todas as sete chaves de um único ponto de comprometimento. Como o The Defiant informou na segunda-feira, a violação resultou em cerca de 447 milhões de tokens H roubados ou cunhados em ambas as cadeias e em perdas estimadas em US$ 36 milhões.
Como o ataque se desenrolou
O protocolo disse que a violação não continha nenhum bug em seus contratos de ponte, contratos de token ou arquitetura segura. Todas as transferências, transações seguras e atualizações de proxy continham assinaturas de chaves privadas válidas, fazendo com que cada ação parecesse uma operação autorizada.
O ataque ocorreu em três ondas entre 8 e 9 de junho. Primeiro, 6,04 milhões de H foram drenados de uma carteira quente de administrador Ethereum depois que sua chave foi comprometida. O invasor então usou três das seis chaves de proprietário do Ethereum Safe para confiscar a propriedade do ProxyAdmin da ponte, atualizou a ponte para uma implementação maliciosa e drenou 141,18 milhões de H em uma única transação.
No BNB Smart Chain, três Safe Keys comprometidas deram ao invasor o controle do ProxyAdmin do token. Três transações separadas da casa da moeda de 100 milhões de H cada expandiram a oferta circulante de cerca de 141 milhões para 441 milhões de H antes de serem liquidadas através de bolsas descentralizadas.
O Humanity Protocol observou que o contrato de token BNB Smart Chain permanece sob controle do invasor, com o ProxyAdmin ainda mantido na carteira do invasor.
Perguntas abertas e respostas
A investigação ainda não determinou quando o invasor acessou a máquina pela primeira vez, como o malware foi entregue ou por quanto tempo as credenciais roubadas foram mantidas antes do ataque de 8 de junho.
Em resposta, o protocolo suspendeu depósitos e retiradas de ponte, publicou um rastreador ao vivo dos endereços do explorador e ofereceu uma recompensa de US$ 1 milhão em USDT por informações que levassem à recuperação de ativos. Quaisquer fundos recuperados seriam destinados à recompra de tokens H.
ZachXBT, que inicialmente levantou a possibilidade de o incidente ter sido encenado, posteriormente revisou sua avaliação após revisar a trilha de lavagem, escrevendo no X que a atividade suspeita do criador de mercado e o comprometimento da chave privada pareciam não estar relacionados.
H foi negociado perto de US$ 0,154 na terça-feira, queda de cerca de 74% em relação à semana anterior, de acordo com a CoinGecko.
Fontesthedefiant
