"Nowicjuszowy błąd" za 1,1 miliarda dolarów

Jak jeden laptop zniszczył wielosignaturę #HumanityProtocol y i kosztował 36 milionów dolarów
Elementarna awaria bezpieczeństwa operacyjnego (OpSec) ujawniała #humanity Protocol, jednorożca zdecentralizowanej tożsamości wspieranego przez tytanów takich jak Pantera Capital i Jump Crypto. Mimo że struktura teoretycznie miała chronić fundusze, centralizacja poświadczeń w jednym zespole ułatwiła katastrofalny atak.
🔍 Początek
Projekt wykorzystywał portfele wielosignaturowe (multisig) do przechowywania mostów, które łączą jego tokeny między różnymi łańcuchami. Chociaż te portfele wymagają wielu niezależnych podpisów do autoryzacji transakcji, wszystkie klucze prywatne przypadkowo przechowywano na laptopie jednego pracownika podczas początkowej konfiguracji.
Przez skompromitowanie tego komputera, haker uzyskał bezpośredni dostęp do minimalnego progu zatwierdzenia bez potrzeby naruszania innych członków zespołu.
💸 Wykonanie ataku: Dwie sieci zhackowane
Napastnik wykorzystał tę samą lukę w centralnym przechowywaniu na dwóch głównych sieciach ekosystemu.
W #Ethereum : Zyskał 3 z 6 kluczy administratora. Przejął kontrolę nad kontraktem projektu, przeniósł własność do swojego portfela, podmienił kod mostu na wersję złośliwą i wydobył 141 milionów tokenów #H  w jednej transakcji.
W #BNBChain : Przejął 3 z 5 dostępnych kluczy. Manipulował kodem, aby aktywować funkcję nieograniczonego mintowania (minting), tworząc z niczego 200 milionów tokenów H bezpośrednio na swoim adresie.
Całkowity łup: Wartość skompromitowanych aktywów przekracza 36 milionów dolarów.
📉 Wpływ na rynek i podejrzenia uboczne
Po ataku, aktywa doznały katastrofalnego spadku z $0,67 do minimum $0,05 (spadek o ponad 90%)
Znany detektyw on-chain ZachXBT wyjaśnił, że hack nie jest związany z innymi nieprawidłowościami na rynku, ale podniósł czerwone flagi dotyczące zachowania tokena na kilka tygodni przed zdarzeniem. Cena $H podejrzanie wzrosła z $0,20 do $0,70 w ciągu zaledwie 14 dni, tuż przed dużym zaplanowanym odblokowaniem tokenów (token unlock).
🛡️ Odpowiedź od Humanity ProtocolZałożyciel projektu, Terence Kwok, przyznał się do błędu w zabezpieczeniach na skompromitowanym urządzeniu. W ramach natychmiastowych działań, zespół wstrzymał wpłaty i wypłaty na dotkniętych mostach, usunął stronę zespołu ze swojej oficjalnej witryny i koordynuje działania z centralnymi giełdami oraz organami ścigania w celu próby śledzenia i zamrożenia skradzionych funduszy.