Humanity Protocol menjelaskan bagaimana peretas berhasil mencuri lebih dari $36 juta dalam token H-nya, yang disebabkan oleh kelalaian serius dalam pengamanan kunci mereka.
Dalam pembaruan insiden yang dibagikan kepada CoinDesk, proyek identitas terdesentralisasi tersebut menyatakan bahwa pelanggaran dimulai ketika laptop seorang karyawan diretas. Mesin tersebut menyimpan beberapa kunci yang mengontrol jembatan token proyek, alat yang memindahkan H (dan token lainnya) antar blockchain.
Jembatan-jembatan tersebut beroperasi melalui dompet multisignature, yang memerlukan sejumlah kunci terpisah untuk menyetujui perubahan apa pun. Dompet multisignature seharusnya menyebarkan kunci ke berbagai orang dan perangkat sehingga tidak ada satu mesin pun yang dapat memindahkan dana.
Dalam kasus ini, semua kunci disimpan di satu perangkat, yang berarti peretasan memungkinkan penyerang melewati ambang batas persetujuan di kedua rantai, kata Humanity.
Penyerang memperoleh tiga dari enam kunci yang mengontrol akun admin jembatan di Ethereum, cukup untuk mengambil alih kontrol yang terkait dengan penyebaran proyek di jaringan tersebut.
Penyerang kemudian mentransfer kepemilikan ke dompet mereka sendiri, mengganti kode jembatan dengan versi berbahaya, dan menguras sekitar 141 juta H dalam satu transaksi.
Dalam pesan Telegram kepada CoinDesk, pendiri Humanity Terence Kwok mengatakan tim telah menyiapkan dompet multisig untuk empat individu (sebagaimana mestinya).
Humanity menduga bahwa "beberapa kunci secara tidak sengaja dicadangkan ke perangkat yang diretas selama penyiapan," kata Kwok. "Kami menggunakan kustodian berlisensi untuk sebagian besar kas token, mpc untuk kas operasional, dan untuk kontrak tertentu kunci multisig disiapkan di satu tempat lalu didistribusikan.
Sayangnya dalam skenario ini, kunci dicadangkan di perangkat yang diretas," ujarnya.
Penyerang mengeksekusi langkah serupa di BNB Chain dengan tiga dari lima kunci. Kali ini, memasang kode dengan fungsi pencetakan tanpa batas, yang memungkinkan pembuatan token sesuka hati, dan mencetak sekitar 200 juta H baru langsung ke dompet mereka.
Humanity sejak itu menghapus halaman tim dari situs webnya. Proyek tersebut menyatakan telah menghentikan setoran dan penarikan di jembatan yang terpengaruh dan bekerja sama dengan bursa serta polisi untuk memulihkan dana.
Humanity mengumpulkan $20 juta dari Pantera Capital dan Jump Crypto tahun lalu dengan valuasi $1,1 miliar.
ZachXBT, penyelidik onchain terkemuka, mengatakan kompromi kunci dan putaran market-making token yang mencurigakan secara terpisah tidak terkait.
Ia juga mempertanyakan bagaimana token diperdagangkan dalam beberapa minggu sebelum peretasan, menjelang pembukaan token besar yang dijadwalkan, saat harga token H melonjak dari 20 sen menjadi 70 sen dalam dua minggu.
Token tersebut telah memulihkan sebagian kerugian. Setelah turun serendah sekitar 5 sen selama serangan, token pulih ke sekitar 20 sen, menurut data CoinGecko. Namun, token tersebut masih jauh di bawah level pra-peretasan sekitar 67 sen.