Il Protocollo Umanità ha appena rilasciato il suo rapporto ufficiale d'inchiesta riguardo all'attacco devastante dell'8 giugno, che ha portato a perdite superiori a $31 milioni.
Se pensi che si trattasse di un exploit altamente sofisticato di smart contract... ripensaci.
Zero Bug, Pura Falla di OpSec
Il rapporto afferma esplicitamente che non c'era NESSUN bug nel bridge, nel token, o nei contratti smart Safe. Il codice funzionava perfettamente.
Invece, l'attaccante è entrato dalla porta principale utilizzando chiavi private legittime.
Come è successo?
Infezione da malware:
La macchina di un sviluppatore è stata infettata da malware, dando all'hacker accesso completo come root.
L'errore fatale:
Durante il lancio del mainnet del progetto attorno a giugno 2025, diverse chiavi private critiche sono state involontariamente salvate su quel preciso dispositivo.
Il Jackpot:
Grazie a questo backup locale, l'attaccante è riuscito a recuperare TUTTE le 7 chiavi critiche da un
punto di compromesso singolo:
Chiave del Wallet Hot Admin
Chiavi di Proprietà Sicura di Ethereum (ETH)
Chiavi di Proprietà Sicura di BSC
Con tutte queste chiavi a disposizione, l'hacker ha facilmente autorizzato trasferimenti, transazioni sicure e aggiornamenti proxy.
Il Grande Insegnamento
Un wallet multi-sig dovrebbe distribuire il potere così che nessuna singola persona o dispositivo possa compromettere i fondi. Memorizzare più chiavi di proprietario su un'unica macchina di sviluppo connessa a Internet annulla completamente lo scopo della decentralizzazione.
Velocità e comodità durante il lancio del mainnet non dovrebbero mai venire a scapito della sicurezza operativa di base.
Cosa ne pensate ragazzi? È ora di audizioni di sicurezza più rigorose sui flussi di lavoro degli sviluppatori, non solo sul codice? Fatemi sapere qui sotto! 👇