Humanity Protocol объяснила, как злоумышленникам удалось похитить более 36 миллионов долларов в токенах H, указав на серьезную ошибку в защите ключей.
В обновлении об инциденте, переданном CoinDesk, проект децентрализованной идентификации сообщил, что нарушение началось со взлома ноутбука сотрудника. На устройстве хранились несколько ключей, контролирующих мосты токенов проекта — инструменты для перемещения H (и других токенов) между блокчейнами.
Эти мосты работали через кошельки с мультиподписью (multisignature), требующие нескольких отдельных ключей для подтверждения любой операции. Кошелек с мультиподписью предназначен для распределения ключей между разными людьми и устройствами, чтобы ни одно устройство не могло самостоятельно перемещать средства.
В данном случае все ключи хранились на одном устройстве, что позволило эксплойтеру преодолеть порог подтверждения на обеих цепочках, сообщили в Humanity.
Атакующий получил три из шести ключей, контролирующих административный аккаунт моста в Ethereum, чего хватило для захвата контроля над развертыванием проекта в сети.
Затем злоумышленник перевел права владения на свой кошелек, заменил код моста на вредоносную версию и вывел около 141 миллиона H в одной транзакции.
Основатель Humanity Теренс Квок в сообщении CoinDesk в Telegram заявил, что команда настроила мультисиг-кошелек на четырех человек (как и следовало).
Квок отметил, что Humanity подозревает, что «некоторые ключи были случайно сохранены на зараженном устройстве во время настройки». «Для большей части казначейства токенов мы используем лицензированного кастодиана, для операционного казначейства — MPC, а для определенных контрактов ключи мультисиг были настроены в одном месте, а затем распределены.
К сожалению, в данном сценарии ключи были сохранены на зараженном устройстве», — добавил он.
Атакующий выполнил аналогичные действия в сети BNB Chain, используя три из пяти ключей. На этот раз был установлен код с функцией бесконечной эмиссии, позволяющей создавать токены по желанию, и около 200 миллионов новых H были напрямую зачислены на кошелек злоумышленника.
Humanity удалила страницу команды со своего сайта. Проект заявил о приостановке депозитов и выводов средств на затронутых мостах и работает с биржами и полицией для возврата средств.
В прошлом году Humanity привлекла 20 миллионов долларов от Pantera Capital и Jump Crypto при оценке в 1,1 миллиарда долларов.
Известный ончейн-исследователь ZachXBT заявил, что компрометация ключей и отдельный раунд подозрительного маркет-мейкинга токена не связаны между собой.
Он также выразил вопросы относительно торговли токеном в недели перед взломом, накануне крупной разблокировки, когда цена H выросла с 20 до 70 центов за две недели.
Токен частично отыграл падение. По данным CoinGecko, во время атаки он опускался до примерно 5 центов, но восстановился до уровня около 20 центов. Тем не менее, он остается значительно ниже предвзломного уровня в 67 центов.