Humanity Protocol revelou que os atacantes roubaram mais de US$ 36 milhões em tokens H após a invasão de um laptop de um funcionário expor chaves ligadas à administração de bridge no Ethereum e na BNB Chain. Três das seis chaves de proprietários do Gnosis Safe foram comprometidas, dando aos atacantes controle para atualizar contratos de bridge para versões maliciosas. No Ethereum, os atacantes drenaram cerca de 141,2 milhões de tokens H; na BNB Chain, eles cunharam 200 milhões de tokens H diretamente para a própria carteira após adicionar funcionalidade de criação ilimitada de tokens.
Atacantes Comprometeram Três Chaves do Gnosis Safe para Controlar Contratos de Bridge
Em uma atualização do incidente, a Humanity Protocol afirmou que o ataque afetou o token H tanto no Ethereum quanto na BNB Chain. Três das seis chaves de proprietário do Gnosis Safe foram comprometidas, fornecendo aos atacantes controle suficiente para assumir a administração da bridge. Uma vez obtido o controle, eles atualizaram os contratos de bridge para versões maliciosas.
No Ethereum, os atacantes drenaram cerca de 141,2 milhões de tokens H. Na BNB Chain, eles adicionaram uma função que permite criação ilimitada de tokens e, depois, cunharam 200 milhões de tokens H diretamente para a própria carteira. O fundador da Humanity, Terence Kwok, disse que o projeto usa controles de multisig entre 4 pessoas, mas que algumas chaves podem ter sido expostas durante a configuração. “O que acreditamos que aconteceu foi que algumas das chaves foram acidentalmente copiadas de backup para um dispositivo comprometido”, disse Kwok.
Backup de Laptop Exposto Múltiplas Chaves de Assinatura Durante a Configuração
Kwok disse que a Humanity usa “um custodiante licenciado para a maior parte do tesouro de tokens” e MPC para o tesouro de suas operações. No entanto, ele também afirmou que “para certos contratos, as chaves do multisig foram configuradas em um lugar e depois distribuídas”, deixando algumas chaves com backup em um dispositivo comprometido.
A diferença importa porque a custódia do tesouro e os controles operacionais podem parecer fortes, mas a administração da bridge pode continuar vulnerável se os direitos de atualização do contrato, a autoridade de mint ou os controles de emergência dependem de chaves expostas. Neste caso, os atacantes não só moveram ativos existentes — eles mudaram os contratos em si e criaram uma nova oferta de tokens em uma cadeia.
Investigadores de Blockchain Questionaram Inicialmente Atividade de Market-Maker
O token H caiu mais de 85% depois que a Humanity divulgou a invasão da chave privada. A queda chamou a atenção de investigadores de blockchain, em parte porque alguns membros da comunidade questionaram se o ataque foi puramente externo ou se estava ligado a uma atividade incomum de tokens antes de um desbloqueio iminente.
O investigador de blockchain ZachXBT questionou inicialmente se o market maker da Humanity e a atividade de balcão (OTC) estavam conectados ao exploit. Mais tarde, ele disse que, após análises adicionais, a atividade do market maker e do OTC parecia independente da invasão da chave privada.
O líder sênior de operações de segurança da Cyvers, Hakan Unal, disse que o comportamento onchain pode inicialmente parecer semelhante em uma invasão genuína e em um incidente encenado porque o atacante detém direitos administrativos legítimos em ambos os casos. “O que os diferencia é o comportamento ao redor”, disse Unal. “Uma invasão genuína normalmente mostra velocidade e improviso: fundos sendo enviados para carteiras novas, swaps com preços ruins, uso de mixer e ausência de sincronização interna.”
Unal disse que um incidente encenado, em vez disso, pode mostrar timing suspeito perto de desbloqueios ou vesting, oferta concentrada, movimentações ordenadas ou resultados que eventualmente voltam a endereços ligados ao time ou a market makers. “Agora, as evidências estão misturadas, por isso a questão fica em aberto”, acrescentou.
O líder de pesquisa da Allium Labs, Elton Shehdula, disse que o padrão onchain do exploit apontava para uma operação possivelmente planejada e coordenada, e não para um oportunista isolado. Ele afirmou que carteiras foram abastecidas a partir de uma exchange e de um mixer semanas antes, que a autoridade de mint foi “ativada” dias antes do ataque e que o sell-off aconteceu em 2 cadeias ao mesmo tempo. Shehdula disse que a configuração era consistente tanto com “insider ou um ator externo” que teria mantido silenciosamente a chave comprometida por algum tempo.
Humanity Protocol Interrompeu Depósitos e Saques na Bridge
A Humanity interrompeu depósitos e saques para as bridges afetadas e disse que está trabalhando com exchanges e partes relacionadas para reduzir danos e revisar opções de recuperação. Kwok alertou os usuários para não interagir com a bridge ou com pools de liquidez depois que a invasão foi divulgada.
FAQ
Como os atacantes roubaram US$ 36 milhões da Humanity Protocol?
Os atacantes comprometeram três das seis chaves de proprietários do Gnosis Safe por meio do laptop de um funcionário, ganhando controle da administração de bridge no Ethereum e na BNB Chain. Eles atualizaram contratos de bridge para versões maliciosas, drenaram 141,2 milhões de tokens H no Ethereum e cunharam 200 milhões de tokens H na BNB Chain.
Por que um único laptop comprometido levou a uma crise no nível do protocolo?
O fundador da Humanity, Terence Kwok, disse que algumas chaves do multisig foram configuradas em um lugar e depois distribuídas, deixando chaves com backup acidental em um dispositivo comprometido. Isso permitiu que os atacantes controlassem os direitos de atualização da bridge e a autoridade de mint, possibilitando que eles mudassem contratos e criassem uma nova oferta de tokens.
Quais ações a Humanity Protocol tomou após o ataque?
A Humanity interrompeu depósitos e saques para as bridges afetadas e afirmou que está trabalhando com exchanges e partes relacionadas para reduzir danos e revisar opções de recuperação. O protocolo alertou os usuários para não interagir com a bridge ou com pools de liquidez depois que a invasão foi divulgada.
