Le protocole Humanity dit que l'attaquant a volé sept clés d'un seul appareil

Le protocole Humanity a identifié une machine de développement infectée par un logiciel malveillant comme la source de la violation de sécurité qui a conduit au vol et à la création non autorisée d’environ 447 millions de jetons H sur Ethereum et BNB Smart Chain.

Résumé

• Humanity Protocol a déclaré qu’une machine de développement infectée par un logiciel malveillant a exposé sept clés privées utilisées lors de l’attaque de juin qui a affecté Ethereum et BNB Smart Chain.
• Les identifiants volés ont permis à l’attaquant de drainer 141,2 millions de H du pont Ethereum et de créer 300 millions de H sur BNB Smart Chain.
• Le projet a indiqué que l’incident provenait de clés privées compromises plutôt que d’une faille dans ses contrats intelligents ou son infrastructure de pont.

Selon le rapport d’incident de Humanity Protocol, un attaquant a obtenu un accès root à un appareil de développement et a récupéré sept clés privées qui avaient été accidentellement sauvegardées lors du lancement du réseau principal en juin 2025.

Les clés comprenaient la clé du portefeuille chaud administrateur, trois clés de propriétaire Safe Ethereum, et trois clés de propriétaire Safe BSC, donnant à l’attaquant un accès à une infrastructure critique depuis une seule machine compromise.

Les conclusions apportent de nouveaux détails à une attaque qui avait précédemment provoqué une chute brutale du H avant une reprise partielle. Le 10 juin, le jeton se négociait près de 0,163 $, en hausse de 23,7 % en 24 heures, bien qu’il reste en baisse de 74,1 % par rapport à la semaine précédente après l’exploitation.

Humanity Protocol a déclaré que l’incident n’était pas dû à une faille dans ses contrats de pont, contrats de jetons ou architecture Safe. Au lieu de cela, l’attaquant a utilisé des clés privées valides pour autoriser des transferts, des transactions Safe et des mises à niveau de contrats après avoir obtenu le contrôle des identifiants.

L’attaquant a utilisé des clés volées pour prendre le contrôle du pont

Selon le rapport, l’attaque s’est déroulée en trois actions distinctes entre le 8 et le 9 juin.

Lors de la première vague, 6,04 millions de H ont été drainés d’un portefeuille chaud administrateur Ethereum après que sa clé privée a été compromise. Ensuite, l’attaquant s’est attaqué à l’infrastructure du pont du protocole.

En utilisant trois clés volées sur six membres de Safe Ethereum, l’attaquant a transféré la propriété de l’Admin du pont Proxy à un portefeuille contrôlé par l’attaquant. Après avoir obtenu le contrôle administratif, l’attaquant a mis à niveau le pont vers une implémentation malveillante et a drainé 141,18 millions de H en une seule transaction.

Humanity Protocol a indiqué que la transaction comportait les signatures nécessaires pour respecter les exigences du seuil de Safe, permettant à la mise à niveau d’apparaître comme une action autorisée plutôt qu’une exploitation de contrat intelligent.

Sur BNB Smart Chain, un ensemble séparé de trois clés Safe compromises a donné à l’attaquant le contrôle de l’Admin du Proxy du jeton. Après avoir déployé une implémentation malveillante, l’attaquant a effectué trois transactions de création de 100 millions de H chacune, augmentant l’offre du jeton d’environ 141,1 millions à 441,1 millions de H.

L’enquête pointe vers un point unique de compromission

Alors que les actifs du pont Ethereum ont été drainés, le rapport décrit le jeton BSC comme irrécupérable car l’attaquant contrôle toujours l’Admin du Proxy et peut continuer à créer des jetons supplémentaires. Humanity Protocol a déclaré que l’attaquant conserve la propriété à la fois du pont et des contrats d’administration du jeton affectés par l’incident.

Des divulgations antérieures du projet se concentraient sur des appareils d’employés compromis et des clés Safe volées. Les dernières constatations médico-légales ont réduit la cause à une seule machine de développement infectée par un logiciel malveillant qui stockait plusieurs sauvegardes sensibles. Selon le rapport, les enquêteurs pensent que les sept clés privées ont été obtenues à partir de cet appareil unique.

Plusieurs questions restent sans réponse. Humanity Protocol a déclaré qu’il n’avait pas encore déterminé quand l’attaquant a obtenu l’accès pour la première fois, comment la machine a été compromise, ou combien de temps les identifiants volés ont été détenus avant que l’attaque ne soit menée.

En réponse à l’incident, le projet a suspendu les dépôts et retraits via les ponts affectés, lancé un suivi public de récupération, et offert une prime de 1 million de USDT pour toute information menant à la récupération des actifs. Humanity Protocol a précédemment indiqué que tous les fonds récupérés seraient utilisés pour racheter des jetons H.