El Protocolo de Humanidad dice que el atacante robó siete llaves de un dispositivo

El Protocolo Humanity ha identificado una máquina de desarrollo infectada con malware como la fuente de la brecha de seguridad que llevó al robo y acuñación no autorizada de aproximadamente 447 millones de tokens H en Ethereum y BNB Smart Chain.

Resumen

• El Protocolo Humanity dijo que una máquina de desarrollo infectada con malware expuso siete claves privadas utilizadas en el ataque de junio que afectó a Ethereum y BNB Smart Chain.
• Las credenciales robadas permitieron al atacante drenar 141.2 millones de H del puente de Ethereum y acuñar 300 millones de H en BNB Smart Chain.
• El proyecto afirmó que el incidente se originó por claves privadas comprometidas en lugar de una falla en sus contratos inteligentes o infraestructura del puente.

Según el informe de incidentes de Humanity Protocol, un atacante obtuvo acceso root a un dispositivo de desarrollo y consiguió siete claves privadas que habían sido respaldadas inadvertidamente durante el lanzamiento de la red principal en junio de 2025 del proyecto.

Las claves incluían la clave de la billetera caliente de administrador, tres claves de propietario de Ethereum Safe y tres claves de propietario de BSC Safe, dando al atacante acceso a infraestructura crítica desde una sola máquina comprometida.

Los hallazgos añaden nuevos detalles a un ataque que previamente causó una caída pronunciada de H antes de una recuperación parcial. El 10 de junio, el token se negociaba cerca de $0.163, un aumento del 23.7% en 24 horas, aunque seguía bajando un 74.1% en la semana anterior tras la explotación.

El Protocolo Humanity afirmó que el incidente no fue causado por una falla en sus contratos de puente, contratos de tokens o arquitectura Safe. En cambio, el atacante utilizó claves privadas válidas para autorizar transferencias, transacciones Safe y actualizaciones de contratos después de obtener control de las credenciales.

El atacante usó claves robadas para tomar control del puente

Según el informe, el ataque se desarrolló en tres acciones separadas entre el 8 y el 9 de junio.

Durante la primera fase, se drenaron 6.04 millones de H de una billetera caliente de administrador de Ethereum después de que su clave privada fuera comprometida. Desde allí, el atacante se dirigió contra la infraestructura del puente del protocolo.

Usando tres claves robadas de un Safe de seis miembros de Ethereum, el atacante transfirió la propiedad del Bridge ProxyAdmin a una billetera controlada por el atacante. Tras obtener control administrativo, el atacante actualizó el puente a una implementación maliciosa y drenó 141.18 millones de H en una sola transacción.

El Protocolo Humanity dijo que la transacción llevaba las firmas necesarias para cumplir con los requisitos del umbral del Safe, permitiendo que la actualización pareciera una acción autorizada en lugar de una explotación del contrato inteligente.

En BNB Smart Chain, un conjunto separado de tres claves Safe comprometidas le dio al atacante control del ProxyAdmin del token. Después de desplegar una implementación maliciosa, el atacante ejecutó tres transacciones de acuñación de 100 millones de H cada una, aumentando la oferta del token de aproximadamente 141.1 millones a 441.1 millones de H.

La investigación apunta a un punto único de compromiso

Mientras que los activos del puente de Ethereum fueron drenados, el informe describió el token de BSC como irrecuperable porque el atacante aún controla el ProxyAdmin y puede seguir acuñando tokens adicionales. El Protocolo Humanity afirmó que el atacante mantiene la propiedad tanto del puente como de los contratos de administración del token afectados en el incidente.

Disclosures anteriores del proyecto se centraron en dispositivos de empleados comprometidos y claves Safe robadas. Los hallazgos forenses más recientes redujeron la causa a una sola máquina de desarrollo infectada con malware que almacenaba múltiples respaldos sensibles. Según el informe, los investigadores creen que las siete claves privadas fueron obtenidas de ese único dispositivo.

Quedan varias preguntas sin responder. El Protocolo Humanity dijo que aún no ha determinado cuándo el atacante obtuvo acceso por primera vez, cómo fue comprometida la máquina, ni cuánto tiempo se mantuvieron las credenciales robadas antes de realizarse el ataque.

En respuesta al incidente, el proyecto detuvo depósitos y retiros a través de los puentes afectados, lanzó un rastreador público de recuperación y ofreció una recompensa de 1 millón de USDT por información que conduzca a la recuperación de los activos. El Protocolo Humanity afirmó previamente que cualquier fondo recuperado sería utilizado para recomprar tokens H.