Humanity diz que laptop comprometido levou a ataque que custou US$ 36 milhões

A Humanity Protocol afirmou que a vulnerabilidade do laptop de um funcionário permitiu que invasores assumissem o controle da rede, atualizassem contratos e roubassem mais de US$ 36 milhões em tokens H. 

Em uma atualização sobre o incidente na terça-feira, o protocolo informou que o ataque de segunda-feira afetou o token H nas redes Ethereum e BNB Chain. A equipe afirmou que três das seis chaves proprietárias do Gnosis Safe foram comprometidas, permitindo que os invasores assumissem o controle da administração da ponte em ambas as redes. 

Uma vez que obtiveram o controle, os atacantes alteraram os contratos da ponte para diferentes versões maliciosas, afirmou a Humanity. No Ethereum, eles drenaram cerca de 141,2 milhões de tokens. No BSC, adicionaram uma função que lhes permitiu criar tokens ilimitados e, em seguida, cunharam 200 milhões de tokens diretamente para sua própria carteira. 

Terence Kwok, fundador da Humanity, disse ao Cointelegraph que o projeto tinha controles de múltiplas assinaturas distribuídos entre quatro indivíduos, mas que algumas chaves podem ter sido expostas durante a configuração. 

“Acreditamos que o que aconteceu foi que algumas das chaves foram acidentalmente copiadas para um dispositivo comprometido”, disse Kwok ao Cointelegraph.

Ele afirmou que a Humanity utiliza "um custodiante licenciado para a maior parte do seu tesouro de tokens" e a MPC para o tesouro de suas operações, mas que "para certos contratos, as chaves multisig foram configuradas em um local e depois dispersas", deixando algumas chaves armazenadas em um dispositivo comprometido. 

O incidente demonstra como um endpoint comprometido pode se transformar em uma crise de protocolo quando diferentes autoridades estão concentradas em um pequeno número de chaves. A Humanity informou que suspendeu depósitos e saques nas pontes afetadas e está trabalhando com exchanges e partes relacionadas para minimizar os danos e investigar opções de recuperação. 

O token H do Humanity Protocol caiu mais de 85% após o projeto divulgar o comprometimento da chave privada. Na época, Kwok alertou os usuários para não interagirem com a ponte ou os pools de liquidez. 

Fonte: Protocolo da Humanidade

Empresas de segurança examinam padrões de exploração

O caso atraiu a atenção de investigadores da blockchain, que questionaram se o ataque foi puramente uma invasão externa ou se estava relacionado com alguma atividade incomum do token antes de um desbloqueio iminente, como alguns membros da comunidade apontaram . 

O investigador de blockchain ZachXBT questionou inicialmente se a atividade de formador de mercado e de negociação de balcão (OTC) da Humanity estava relacionada à exploração da vulnerabilidade. No entanto, ele afirmou posteriormente que, após uma análise mais aprofundada, a atividade de formador de mercado e de negociação de balcão parecia ser independente da violação da chave privada. 

Relacionado: ZEC cai 30% após a Shielded Labs revelar mais detalhes sobre bug de falsificação infinita

Hakan Unal, líder sênior de operações de segurança da Cyvers, disse ao Cointelegraph que o padrão on-chain pode parecer semelhante à primeira vista, seja um incidente uma violação genuína ou um evento simulado, porque o invasor detém direitos administrativos legítimos em ambos os casos.

“O que os distingue é o comportamento em torno do qual ocorrem”, disse Unal. “Um acordo genuíno geralmente demonstra rapidez e improvisação: fundos transferidos rapidamente para novas carteiras, trocas a preços desfavoráveis, uso de mixers e nenhuma estratégia de negociação com informações privilegiadas.”

Em contrapartida, Unal afirmou que um incidente orquestrado pode apresentar momentos suspeitos próximos a desbloqueios ou concessões, oferta concentrada, movimentação ordenada ou recursos que eventualmente retornam a endereços vinculados à equipe ou a formadores de mercado.

“Neste momento, as evidências são contraditórias, razão pela qual a questão permanece em aberto”, acrescentou.

Pesquisador suspeita que o incidente com a Humanity tenha sido coordenado.

Entretanto, Elton Shehdula, líder de pesquisa da Allium Labs, afirmou que o padrão on-chain da exploração apontava para uma operação potencialmente planejada e coordenada, em vez de um oportunista solitário.

Financiamento e cronograma da carteira. Fonte: Allium Labs.

Shehdula afirmou que as carteiras foram financiadas por uma corretora e um misturador de criptomoedas semanas antes, a autoridade emissora foi "ativada" dias antes do ataque e o vazamento ocorreu em duas blockchains simultaneamente.

Ele afirmou que o nível de configuração e acesso era compatível com um "agente interno ou externo" que detinha silenciosamente a chave comprometida há algum tempo.