Humanity Protocol 披露,源自员工受感染笔记本电脑的安全漏洞使攻击者能够控制其跨链桥、升级合约并窃取价值超过 3600 万美元的 H 代币。这次攻击发生在周一,影响了以太坊和 BNB Chain 网络上的 H 代币。
该协议指出,六分之三的 Gnosis Safe 所有者密钥已被泄露,从而使攻击者能够对两个区块链上的桥进行管理控制。获得控制权后,攻击者用恶意版本替换了桥接合约。在以太坊上,他们消耗了大约 1.412 亿个代币。在BNB智能链(BSC)上,他们添加了允许无限代币铸造的功能,并直接在他们的钱包中创建了2亿个代币。
Humanity 创始人 Terence Kwok 向 Cointelegraph 解释说,虽然多重签名控制权分布在四个人之间,但一些密钥可能在设置过程中暴露。 “我们认为发生的事情是一些密钥被意外备份到了受感染的设备上,”郭说。他指出,虽然该项目使用获得许可的托管机构来管理大多数财务资产,并使用 MPC(多方计算)进行操作,但某些合约的多重签名密钥在分发前已在一个位置设置,并在受感染的设备上留下了备份。
该事件凸显了当管理权限集中在少数密钥背后时,单个端点的泄露如何升级为协议级危机。 Humanity 已停止在受影响的桥梁上进行存款和取款,并正在与交易所和其他各方协调,以减轻损害并探索恢复方案。
在私钥泄露事件曝光后,Humanity Protocol 的 H 代币价值暴跌超过 85%。 Kwok 警告用户避免与桥或相关流动性池进行交互。
安全公司分析漏洞利用模式
这次攻击引发了区块链调查人员的审查,一些社区成员质疑这是否纯粹是外部违规,或者与预定解锁之前的异常代币活动有关。区块链调查员 ZachXBT 最初对 Humanity 做市商和场外交易 (OTC) 活动的潜在联系表示担忧,但后来表示,进一步的分析表明这些与关键妥协无关。 Cyvers 的高级安全运营负责人 Hakan Unal 告诉 Cointelegraph,当攻击者拥有合法的管理权限时,真正的妥协和分阶段事件可能会在链上出现类似的情况。 “他们的区别在于周围的行为,”乌纳尔说。 “真正的妥协通常表现出速度和即兴发挥:资金涌入新的钱包,以糟糕的价格进行掉期,使用混合器,并且没有内幕时机。”相比之下,分阶段的事件可能涉及解锁附近的可疑时机、集中的供应流动或收益最终被路由回与团队相关的地址。“目前证据好坏参半,这就是问题悬而未决的原因,”Unal 补充道。
研究人员建议协同攻击
Allium Labs 研究负责人 Elton Shehdula 表示,链上模式表明潜在的计划和协调操作,而不是孤独的机会主义者。 Shehdula 指出,钱包提前几周从交易所和混合器获得资金,铸币机构在攻击前几天接受了测试,代币转储在两条链上同时执行。
Shehdula 表示,准备和访问的程度与内部人员或外部参与者一致,他们在很长一段时间内悄悄地拥有泄露的密钥。