پروتکل Humanity یک دستگاه توسعه‌دهنده آلوده به بدافزار را به عنوان منبع نقض امنیتی که منجر به سرقت و ضرب غیرمجاز تقریباً 447 میلیون توکن H در شبکه‌های اتریوم و زنجیره هوشمند BNB شد، شناسایی کرده است.

بر اساس گزارش حادثه پروتکل Humanity، یک مهاجم به دستگاه یک توسعه‌دهنده دسترسی روت (ریشه) پیدا کرد و هفت کلید خصوصی را که به طور ناخواسته در طول راه‌اندازی شبکه اصلی (مین‌نت) این پروژه در ژوئن 2025 پشتیبان‌گیری شده بودند، به دست آورد.

این کلیدها شامل کلید کیف پول داغ (هات والت) ادمین، سه کلید صاحب Safe اتریوم و سه کلید صاحب Safe BSC بودند که به مهاجم از یک دستگاه به خطر افتاده واحد، دسترسی به زیرساخت‌های حیاتی را می‌داد.

این یافته‌ها جزئیات جدیدی را به حمله‌ای اضافه می‌کنند که قبلاً باعث سقوط شدید H شده بود، پیش از آنکه بازیابی جزئی داشته باشد. در 10 ژوئن، این توکن نزدیک به 0.163 دلار معامله شد که 23.7 درصد افزایش در 24 ساعت را نشان می‌داد، اگرچه پس از اکسپلویت (بهره‌برداری)، 74.1 درصد نسبت به هفته قبل کاهش داشت.

پروتکل Humanity اعلام کرد که این حادثه ناشی از نقص در قراردادهای بریج، قراردادهای توکن، یا معماری Safe آن نبوده است. در عوض، مهاجم پس از به دست آوردن کنترل اعتبارنامه‌ها، از کلیدهای خصوصی معتبر برای تأیید انتقال‌ها، تراکنش‌های Safe، و ارتقاء قراردادها استفاده کرده است.

مهاجم از کلیدهای سرقت شده برای به دست گرفتن کنترل بریج استفاده کرد

بر اساس گزارش، این حمله در سه اقدام جداگانه بین 8 و 9 ژوئن رخ داد.

در موج اول، 6.04 میلیون H پس از به خطر افتادن کلید خصوصی آن، از یک کیف پول داغ ادمین اتریوم تخلیه شد. از آنجا، مهاجم به زیرساخت بریج پروتکل حمله کرد.

با استفاده از سه کلید به سرقت رفته از یک Safe اتریوم شش عضوی، مهاجم مالکیت Bridge ProxyAdmin را به کیف پولی تحت کنترل خود منتقل کرد. پس از به دست آوردن کنترل مدیریتی، مهاجم بریج را به یک پیاده‌سازی مخرب ارتقا داد و 141.18 میلیون H را در یک تراکنش واحد تخلیه کرد.

پروتکل Humanity اعلام کرد که این تراکنش حاوی امضاهای لازم برای برآوردن الزامات آستانه Safe بود، که باعث شد ارتقاء به جای یک اکسپلویت قرارداد هوشمند، به عنوان یک اقدام مجاز ظاهر شود.

در زنجیره هوشمند BNB، مجموعه‌ای جداگانه از سه کلید Safe به خطر افتاده، کنترل ProxyAdmin توکن را به مهاجم داد. پس از استقرار یک پیاده‌سازی مخرب، مهاجم سه تراکنش ضرب، هر کدام به میزان 100 میلیون H را اجرا کرد و عرضه توکن را از حدود 141.1 میلیون به 441.1 میلیون H افزایش داد.

تحقیقات به یک نقطه واحد از خطر اشاره دارد

در حالی که دارایی‌های بریج اتریوم تخلیه شدند، گزارش توکن BSC را غیرقابل بازیابی توصیف کرد، زیرا مهاجم همچنان ProxyAdmin را کنترل می‌کند و می‌تواند به ضرب توکن‌های اضافی ادامه دهد. پروتکل Humanity اعلام کرد که مهاجم مالکیت هر دو قرارداد مدیریت بریج و توکن را که در این حادثه تحت تأثیر قرار گرفتند، حفظ کرده است.

افشاگری‌های قبلی از پروژه بر روی دستگاه‌های کارمندان به خطر افتاده و کلیدهای Safe سرقت شده متمرکز بودند. آخرین یافته‌های پزشکی قانونی علت را به یک دستگاه توسعه‌دهنده آلوده به بدافزار محدود کردند که چندین پشتیبان‌گیری حساس را ذخیره می‌کرد. بر اساس گزارش، محققان بر این باورند که هر هفت کلید خصوصی از همان یک دستگاه به دست آمده‌اند.

چندین سؤال بی‌پاسخ مانده است. پروتکل Humanity اعلام کرد که هنوز مشخص نکرده است که مهاجم چه زمانی برای اولین بار دسترسی پیدا کرده است، چگونه دستگاه به خطر افتاد، یا چه مدت اعتبارنامه‌های به سرقت رفته قبل از انجام حمله نگهداری شده‌اند.

در پاسخ به این حادثه، پروژه سپرده‌گذاری و برداشت را از طریق بریج‌های آسیب‌دیده متوقف کرد، یک ردیاب عمومی بازیابی را راه‌اندازی کرد، و پاداشی به مبلغ 1 میلیون دلار تتر (USDT) برای اطلاعاتی که منجر به بازیابی دارایی شود، ارائه کرد. پروتکل Humanity قبلاً اعلام کرده بود که هرگونه وجوه بازیابی شده برای بازخرید توکن‌های H استفاده خواهد شد.