Humanity Protocol ระบุว่าผู้โจมตีขโมยคีย์เจ็ดดอกจากอุปกรณ์เครื่องเดียว
Humanity Protocol ระบุว่าเครื่องคอมพิวเตอร์ของนักพัฒนาที่ติดมัลแวร์เป็นต้นเหตุของการละเมิดความปลอดภัยที่นำไปสู่การขโมยและการสร้างเหรียญ H โดยไม่ได้รับอนุญาตรวมประมาณ 447 ล้านเหรียญบน Ethereum และ BNB Smart Chain
- Humanity Protocol ระบุว่าเครื่องคอมพิวเตอร์ของนักพัฒนาที่ติดมัลแวร์ทำให้ private key จำนวน 7 รายการที่ใช้ในการโจมตีเดือนมิถุนายนรั่วไหล ซึ่งส่งผลกระทบต่อ Ethereum และ BNB Smart Chain
- ข้อมูลรับรองที่ถูกขโมยทำให้ผู้โจมตีสามารถดูดเหรียญ H จำนวน 141.2 ล้านเหรียญจาก Ethereum bridge และสร้างเหรียญ H อีก 300 ล้านเหรียญบน BNB Smart Chain
- โปรเจกต์ระบุว่าเหตุการณ์นี้เกิดจาก private key ที่ถูกบุกรุก ไม่ใช่ข้อบกพร่องของ smart contract หรือโครงสร้างพื้นฐาน bridge
ตามรายงานเหตุการณ์ของ Humanity Protocol ผู้โจมตีได้รับสิทธิ์ root เข้าถึงอุปกรณ์ของนักพัฒนาและได้รับ private key จำนวน 7 รายการที่ถูกสำรองข้อมูลโดยไม่ตั้งใจในช่วงการเปิดตัว mainnet ของโปรเจกต์ในเดือนมิถุนายน 2025
key เหล่านี้ประกอบด้วย admin hot wallet key, Ethereum Safe owner key จำนวน 3 รายการ และ BSC Safe owner key จำนวน 3 รายการ ทำให้ผู้โจมตีสามารถเข้าถึงโครงสร้างพื้นฐานที่สำคัญจากเครื่องที่ถูกบุกรุกเพียงเครื่องเดียว
ผลการค้นพบดังกล่าวเพิ่มรายละเอียดใหม่ให้กับการโจมตีที่ก่อนหน้านี้ทำให้ราคา H ร่วงลงอย่างรุนแรงก่อนจะฟื้นตัวบางส่วน เมื่อวันที่ 10 มิถุนายน เหรียญซื้อขายอยู่ใกล้ $0.163 เพิ่มขึ้น 23.7% ใน 24 ชั่วโมง แม้ว่าจะยังลดลง 74.1% จากสัปดาห์ก่อนหน้าหลังจากเกิดการโจมตี
Humanity Protocol ระบุว่าเหตุการณ์นี้ไม่ได้เกิดจากข้อบกพร่องของ bridge contract, token contract หรือสถาปัตยกรรม Safe แต่ผู้โจมตีใช้ private key ที่ถูกต้องในการอนุมัติการโอน, Safe transaction และการอัปเกรด contract หลังจากได้รับข้อมูลรับรอง
ผู้โจมตีใช้ key ที่ถูกขโมยเพื่อยึดการควบคุม bridge
ตามรายงาน การโจมตีเกิดขึ้นใน 3 ขั้นตอนแยกกันระหว่างวันที่ 8 ถึง 9 มิถุนายน
ในระลอกแรก เหรียญ H จำนวน 6.04 ล้านเหรียญถูกดูดออกจาก Ethereum admin hot wallet หลังจาก private key ของมันถูกบุกรุก จากนั้นผู้โจมตีได้มุ่งเป้าไปที่โครงสร้างพื้นฐาน bridge ของโปรโตคอล
โดยใช้ key ที่ถูกขโมย 3 รายการจาก Ethereum Safe ที่มีสมาชิก 6 คน ผู้โจมตีได้โอนกรรมสิทธิ์ Bridge ProxyAdmin ไปยัง wallet ที่ผู้โจมตีควบคุม หลังจากได้รับการควบคุมระดับ admin ผู้โจมตีได้อัปเกรด bridge เป็น implementation ที่เป็นอันตรายและดูดเหรียญ H จำนวน 141.18 ล้านเหรียญในธุรกรรมเดียว
Humanity Protocol ระบุว่าธุรกรรมดังกล่าวมีลายเซ็นครบตามเกณฑ์ที่ Safe กำหนด ทำให้การอัปเกรดดูเหมือนเป็นการกระทำที่ได้รับอนุมัติ ไม่ใช่การโจมตี smart contract
บน BNB Smart Chain ผู้โจมตีได้รับการควบคุม ProxyAdmin ของ token โดยใช้ Safe key ที่ถูกบุกรุกอีก 3 รายการแยกต่างหาก หลังจาก deploy implementation ที่เป็นอันตราย ผู้โจมตีได้ดำเนินธุรกรรม mint จำนวน 3 ครั้ง ครั้งละ 100 ล้านเหรียญ H ส่งผลให้ปริมาณ token เพิ่มขึ้นจากประมาณ 141.1 ล้านเป็น 441.1 ล้าน H
การสืบสวนชี้ไปที่จุดเดียวของการบุกรุก
แม้ว่าสินทรัพย์ใน Ethereum bridge จะถูกดูดออก แต่รายงานระบุว่า BSC token ไม่สามารถกู้คืนได้ เนื่องจากผู้โจมตียังคงควบคุม ProxyAdmin และสามารถสร้างเหรียญเพิ่มเติมได้ต่อเนื่อง Humanity Protocol ระบุว่าผู้โจมตียังคงเป็นเจ้าของทั้ง bridge และ token administration contract ที่ได้รับผลกระทบในเหตุการณ์นี้
การเปิดเผยข้อมูลก่อนหน้าของโปรเจกต์มุ่งเน้นไปที่อุปกรณ์ของพนักงานที่ถูกบุกรุกและ Safe key ที่ถูกขโมย ผลการตรวจพิสูจน์หลักฐานล่าสุดระบุสาเหตุให้แคบลงเหลือเพียงเครื่องนักพัฒนาที่ติดมัลแวร์หนึ่งเครื่องที่เก็บสำรองข้อมูลสำคัญหลายรายการ ตามรายงาน ผู้สืบสวนเชื่อว่า private key ทั้ง 7 รายการถูกได้รับมาจากอุปกรณ์เครื่องเดียวนั้น
คำถามหลายข้อยังไม่ได้รับการตอบ Humanity Protocol ระบุว่ายังไม่ได้ระบุว่าผู้โจมตีเข้าถึงครั้งแรกเมื่อใด เครื่องถูกบุกรุกอย่างไร หรือข้อมูลรับรองที่ถูกขโมยถูกเก็บไว้นานเท่าใดก่อนที่จะเกิดการโจมตี
เพื่อตอบสนองต่อเหตุการณ์ดังกล่าว โปรเจกต์ได้หยุดการฝากและถอนเงินผ่าน bridge ที่ได้รับผลกระทบ เปิดตัว recovery tracker สาธารณะ และเสนอรางวัล 1 ล้าน USDT สำหรับข้อมูลที่นำไปสู่การกู้คืนสินทรัพย์ Humanity Protocol ระบุก่อนหน้านี้ว่าเงินที่กู้คืนได้จะถูกนำไปใช้ซื้อคืนเหรียญ H
คุณอาจชอบเช่นกัน
ทองคำร่วงสู่จุดต่ำสุดในรอบหลายเดือนใกล้ $4,050 หลังเงินเฟ้อสหรัฐฯ พุ่งสูงหนุนการคาดการณ์ Fed แบบเหยี่ยว
ทรัมป์ขู่ทิ้งระเบิดอิหร่านคืนพรุ่งนี้ หากปฏิเสธข้อตกลงนิวเคลียร์
NASA เพิ่งส่งนักบินอวกาศสี่คนไปยังดวงจันทร์ — นี่คือความหมายต่อหุ้นอวกาศ
