Фишинговая атака на Humanity Protocol привела к компрометации развертывания в BNB Chain

Humanity Protocol сообщила, что целевой фишинг в отношении одного из директоров привел к краже приватных ключей, которые были использованы при инциденте с токеном $H 8 июня. В результате развертывание проекта в BNB Chain было скомпрометировано необратимо. В обновлении по инциденту от 12 июня команда опубликовала выводы независимого расследования, проведенного Quantstamp. По данным отчета, злоумышленник использовал похищенные административные учетные данные для обновления контрактов, после чего перемещал токены между Ethereum и выпустил (mint) новые $H в BNB Smart Chain. Позднее токены распродавались через Uniswap и PancakeSwap в течение примерно восьми часов. Это резко ухудшило ликвидность и спровоцировало стремительное падение рыночной цены токена. Как утверждает Humanity Protocol, атака началась с фишингового письма, замаскированного под сообщение от криптобиржи Bithumb. Директор, ставший целью, ранее, как сообщается, контактировал с Bithumb и получил письмо, выглядевшее как легитимное обновление, но содержащее вредоносное вложение. Команда заявила, что открытие файла установило malware для удаленного доступа, предоставив атакующему полный контроль через remote desktop без срабатывания средств защиты конечной точки. Получив доступ, злоумышленник, предположительно, скопировал данные кошелька и приватные ключи, хранившиеся на устройстве, и затем провел атаку ончейн. Quantstamp отметила, что использованные инструменты вредоносного ПО и шаблоны подписания сертификатов, выявленные в ходе расследования, были "характерны для вторжений, связанных с КНДР", но при этом в отчете не приводится окончательная атрибуция. По данным Humanity Protocol, похищенные ключи одного из директоров позволили атакующему обновить контракт в сети Ethereum и переместить около 141,18 млн токенов $H. В BNB Chain злоумышленник, как сообщается, получил контроль над контрактом ProxyAdmin, что дало возможность выпускать дополнительные $H напрямую. Нововыпущенные токены затем продавались в пулы ликвидности в сетях Ethereum и BSC, усиливая потери держателей и провайдеров ликвидности. Команда подчеркнула, что причиной инцидента не стала уязвимость самих смарт-контрактов: компрометация произошла из-за несанкционированного административного доступа, полученного через фишинг. Инцидент также привел к расхождению между развертываниями Humanity Protocol в Ethereum и BSC. Согласно обновлению, контракт токена в Ethereum удалось заморозить с помощью отдельного "чистого" multisig-кошелька, к которому атакующий доступа не имел. Также сообщается, что канонический мост Humanity Mainnet не пострадал. Развертывание в BNB Chain при этом признано необратимо скомпрометированным, поскольку атакующий сохраняет административный контроль и способен продолжать выпуск новых токенов. "Его необходимо оставить", — написала команда, говоря о развертывании в BSC. Ситуация усиливает обеспокоенность криптоиндустрии вопросами управления governance-ключами, операционной безопасности и рисками атак социальной инженерии. Итог: Humanity Protocol заявила, что фишинговое письмо под видом Bithumb привело к краже ключей директора, использованных при эксплуатации $H 8 июня. Развертывание в Ethereum удалось заморозить, но от версии в BNB Chain проекту придется отказаться, так как у атакующего сохраняются права на mint.