Humanity Protocol mengungkapkan penyerang mencuri lebih dari 36 juta dolar AS dalam token H setelah kompromi laptop karyawan mengekspos kunci yang terkait dengan administrasi bridge di Ethereum dan BNB Chain. Tiga dari enam kunci pemilik Gnosis Safe disusupi, memberi penyerang kendali untuk meng-upgrade kontrak bridge menjadi versi berbahaya. Di Ethereum, penyerang menguras sekitar 141,2 juta token H; di BNB Chain, mereka mencetak 200 juta token H langsung ke dompet mereka setelah menambahkan fungsionalitas pembuatan token tanpa batas.
Penyerang Mengkompromikan Tiga Kunci Gnosis Safe untuk Mengendalikan Kontrak Bridge
Dalam pembaruan insiden, Humanity Protocol menyatakan serangan itu memengaruhi token H di kedua jaringan Ethereum dan BNB Chain. Tiga dari enam kunci pemilik Gnosis Safe dikompromikan, memberikan penyerang kendali yang cukup untuk mengambil alih administrasi bridge. Setelah kendali diperoleh, mereka meng-upgrade kontrak bridge ke versi berbahaya.
Di Ethereum, penyerang menguras sekitar 141,2 juta token H. Di BNB Chain, mereka menambahkan fungsi yang memungkinkan pembuatan token tanpa batas, lalu mencetak 200 juta token H langsung ke dompet mereka sendiri. Pendiri Humanity, Terence Kwok, mengatakan proyek menggunakan kontrol multisignature di antara 4 individu, tetapi beberapa kunci mungkin terekspos selama penyiapan. "Yang kami yakini terjadi adalah beberapa kunci secara tidak sengaja dicadangkan ke perangkat yang juga telah dikompromikan," kata Kwok.
Pencadangan Laptop Mengekspos Banyak Kunci Penandatanganan Saat Setup
Kwok mengatakan Humanity menggunakan "custodian berlisensi untuk mayoritas kas token" dan MPC untuk kas operasionalnya. Namun, ia juga menyatakan bahwa "untuk kontrak tertentu, kunci multisig disiapkan di satu tempat lalu didispersikan," sehingga sebagian kunci dicadangkan di perangkat yang dikompromikan.
Perbedaan ini penting karena penitipan treasury dan kontrol operasional mungkin tampak kuat, tetapi administrasi bridge bisa tetap rentan jika hak upgrade kontrak, otoritas mint, atau kontrol darurat bergantung pada kunci yang terekspos. Dalam kasus ini, penyerang tidak hanya memindahkan aset yang ada—mereka mengubah kontraknya sendiri dan menciptakan suplai token baru di satu jaringan.
Penyelidik Blockchain Awalnya Mempertanyakan Aktivitas Market-Maker
Token H jatuh lebih dari 85% setelah Humanity mengungkap kompromi kunci privat. Kejatuhan itu memicu sorotan dari penyelidik blockchain, sebagian karena beberapa anggota komunitas mempertanyakan apakah serangan itu murni eksternal atau terkait dengan aktivitas token yang tidak biasa sebelum unlock yang akan datang.
Penyelidik blockchain ZachXBT awalnya mempertanyakan apakah market maker dan aktivitas over-the-counter Humanity terhubung dengan eksploit. Ia kemudian mengatakan bahwa setelah analisis lebih lanjut, aktivitas market-maker dan OTC terlihat independen dari kompromi kunci privat.
Pemimpin operasi keamanan senior Cyvers, Hakan Unal, mengatakan perilaku di rantai dapat terlihat mirip pada awalnya antara kompromi yang benar-benar terjadi dan insiden yang diskenariokan, karena penyerang memegang hak admin yang sah dalam kedua kasus. "Yang membedakan mereka adalah perilaku di sekelilingnya," kata Unal. "Kompromi yang nyata biasanya menunjukkan kecepatan dan improvisasi: dana dipacu ke dompet baru, swap dengan harga buruk, penggunaan mixer, dan tidak ada penjadwalan insider."
Unal mengatakan insiden yang diskenariokan bisa jadi menunjukkan timing yang mencurigakan menjelang unlock atau vesting, konsentrasi suplai, pergerakan yang tertib, atau hasil yang akhirnya mengarah kembali ke alamat yang terhubung ke tim atau market maker. "Saat ini bukti masih campur, itulah mengapa pertanyaannya masih terbuka," tambahnya.
Elton Shehdula, pemimpin riset Allium Labs, mengatakan pola onchain eksploit mengarah pada operasi yang berpotensi direncanakan dan dikoordinasikan, bukan tindakan oportunis tunggal. Ia mengatakan dompet didanai dari sebuah bursa dan sebuah mixer berminggu-minggu sebelumnya, otoritas mint "dipanaskan" beberapa hari sebelum serangan, dan aksi jual terjadi di 2 rantai pada waktu yang sama. Shehdula mengatakan penyiapan itu konsisten dengan baik "insider atau aktor eksternal" yang diam-diam memegang kunci yang dikompromikan selama beberapa waktu.
Humanity Protocol Menghentikan Setoran dan Penarikan Bridge
Humanity menghentikan setoran dan penarikan ke bridge yang terdampak dan mengatakan pihaknya bekerja sama dengan bursa dan pihak terkait untuk mengurangi kerusakan serta meninjau opsi pemulihan. Kwok memperingatkan pengguna agar tidak berinteraksi dengan bridge atau liquidity pools setelah kompromi diungkapkan.
FAQ
Bagaimana penyerang mencuri 36 juta dolar AS dari Humanity Protocol?
Penyerang mengkompromikan tiga dari enam kunci pemilik Gnosis Safe melalui laptop karyawan, sehingga mendapatkan kendali administrasi bridge di Ethereum dan BNB Chain. Mereka meng-upgrade kontrak bridge menjadi versi berbahaya, menguras 141,2 juta token H di Ethereum, dan mencetak 200 juta token H di BNB Chain.
Mengapa satu laptop yang dikompromikan memicu krisis tingkat-protokol?
Pendiri Humanity, Terence Kwok, mengatakan beberapa kunci multisig disiapkan di satu tempat lalu didispersikan, sehingga kunci dicadangkan secara tidak sengaja di perangkat yang dikompromikan. Ini memungkinkan penyerang mengendalikan hak upgrade bridge dan otoritas mint, sehingga mereka bisa mengubah kontrak dan membuat suplai token baru.
Tindakan apa yang dilakukan Humanity Protocol setelah serangan?
Humanity menghentikan setoran dan penarikan ke bridge yang terdampak serta menyatakan pihaknya bekerja sama dengan bursa dan pihak terkait untuk mengurangi kerusakan serta meninjau opsi pemulihan. Protokol memperingatkan pengguna agar tidak berinteraksi dengan bridge atau liquidity pools setelah kompromi diungkapkan.
