Humanity Protocoli rünnak: administraatori võti kompromiteeriti, varastati üle 36 miljoni dollari, $H kukkus

Humanity Protocol teatas turvainsidentsist 9. juunil pärast seda, kui projekt kinnitas, et ühe töötaja arvuti oli kompromitteeritud, mis viis mitme administraatorivõtme vargusele, mille abil hallatakse selle Ethereumi ja BNB Chaini sildaga seotud infrastruktuuri. Projekt palus kasutajatel mitte kasutada oma silda ega likviidsuspõhju seni, kuni uurijad hindavad rünnaku ulatust.

Teade ilmus pärast seda, kui blockchaini uurija Specter teatas, et Humanity Protocoliga seotud rahakotid tühjendati ning kahjude hinnang ületas 30 miljonit USA dollarit. Sündmus pälvis ka kriitikat chainil tegutseva uurija ZachXBT poolt, kes kahtlustas projekti turu tegemise tegevusi, kuid hiljem väitis ta, et tõendid viitavad autentsele privaatvõtme kompromitteerumisele.

Humanity Protocol väidab, et kompromitteeritud võtmed võimaldasid silla üle võtmise

12 tundi pärast seda, kui insident avalikustus, avaldas Humanity Protocol täiendavaid andmeid rünnaku kohta ning hinnas kogukahjude suuruseks üle 36 miljoni dollari nii Ethereumil kui ka BNB Chainil.

Projekti andmetel algas rünnak pärast seda, kui kompromitteeriti ühe töötaja arvuti ja rünnakutele alluv saatis kolm kuuest Gnosis Safe omaniku võtmest, mis kontrollivad Hyperlane silla ProxyAdmini Ethereumil. Neid võtmeid kasutades üleandis rünnakutele alluv ProxyAdmini omanduse oma kontrolli all olevale rahakotile, vahetas silla lepingu kurjasti implementatsioonile ja teostas ühe tehingu raames umbes 141,2 miljonit $H-tähte.

Projekt väitis ka, et viiest Safe omaniku võtmest, mis kontrollivad BNB Chaini silda, oli kompromitteeritud kolm. Humanity Protocoli andmetel kasutas rünnakutele alluv sama meetodit, et võtta silla administraatorilepingu kontroll alla, ning paigaldas kurjasti implementatsiooni, mis sisaldas piiramatu mündimisfunktsiooni.

Humanity Protocol väitis, et rünnakutele alluv mündis kahe tehingu raames 200 000 005 $H-tähte ning edastas need oma rahakotisse.

Projekt teatas, et puudutatud sillade deposiitide ja väljavõttude teostamine on peatatud, kuni uurimised kestavad. Humanity Protocol lisas, et see koostöös börside, turvapartnerite ja õiguskaitseasutustega, et varastatud vahendeid tagasi saada ja edasise kahju piirata.

Specter teatas esimesena rahakottide tühjendamisest

Esialgses postituses, mille Specter avaldas mitu tundi enne seda, kui Humanity Protocol insidenti tunnistas, väitis ta, et rohkem kui 17 rahakotti, milles oli $H-tähti, oli tühjendatud ning kahjude hinnang ületas 5 miljonit USA dollarit. Ta avaldas mitu aadressi, mille ta identifitseeris vargusrahakottidena, ja eeldas, et puudutatud kontod võisid jagada ühise ekspositsiooni, mis oli seotud Humanity Protocoliga, kuigi täpne rünnakuvektor oli sel ajal veel teadmata.

Järgnevates tundides jätkas Specter postituste avaldamist, kuna uusi rahakotte aruandeti kompromitteeritud olevat. Hiljem väitis ta, et kogukahjud ületasid 20 miljonit USA dollarit, millest umbes 9 miljonit USA dollarit varastatud $H-tähti vahetati ETH-iks ning veel 9,9 miljonit USA dollarit jäi müümata.

Kauplemisrõhk põhjustas Humanity Protocoli native tokeni järsu languse. Token oli langenud umbes 87%, kuna rünnakutele alluv jätkas varastatud varade likvideerimist.

Hiljem teatas uurija, et puudutatud rahakottide arv oli kasvanud esialgsetest 17 aadressist sadadesse. Ta hinnas hiljem, et kogukahjud olid ületanud 30 miljonit USA dollarit.

Veel ühes uuenduses teatas Specter, et 100 miljonit $H-tähte oli münditud ja neid müüdi BNB-s. Mitu tundi hiljem teatas Humanity Protocol, et rünnakutele alluv oli olevat mündinud 200 000 005 $H-tähte BNB Chainil pärast seda, kui ta oli võtnud kontrolli silla administraatorilepingute üle.

Nagu olukord arenes, jätkas Specter rahakottide aadresside avaldamist, mille ta seosis vargusega.

ZachXBT kahtlustas Humanity Protocoli enne oma hindamise ümberhindamist

Sündmus pälvis tähelepanu ka blockchaini uurija ZachXBT poolt, kes reageeris algul skeptiliselt Humanity Protocoli sündmuste seletusele.

Oma vastuses kritiseeris ZachXBT projekti hiljutist tokenite tegevust ja soovitas kogukonnal mitte kohe aktsepteerida tiimi narratiivi. Ta süüdistas Humanity Protocoli $H-tähte kunstlikus toetamises ja palus projektilt avaldada tema aktiivsed turu tegemise lepingud ning suhted Hongkongis asuva ettevõttega.

Siiski avaldas ZachXBT mõni tund hiljem täiendava analüüsi põhjal järgmise vastuse. Ta ütles, et väidetav turu tegemine ja OTC-tegevus näisid olevat eraldatud privaatvõtme kompromitteerumisest ning et need kaks sündmust ei olnud omavahel seotud.

ZachXBT kinnitas hiljem seda seisukohta vastussõnas kasutajale, kes eeldas, et teatatud kompromitteerumine võib olla vaid vahend tokenite müügiks. Ta ütles, et kuigi ta algselt sellist stsenaariumi kahtlustas, arvestades projekti turu tegemise tegevust ja hiljutisi OTC-tehinguid, viitasid talle jagatud tõendid autentsesse turvainsidentsi.

Samas uuenduses märkis ZachXBT, et oleks irooniline, kui tiim oleks nädalaid tokeni hinna tõstmiseks pingutanud, et siis just enne käesoleva kuu lõpus plaanitud tokenite avamist saada suur turvainsidents – kommentaar, mis viitas tema varasematele muredele projekti turutegevuse kohta.

Mis on Humanity Protocol?

Humanity Protocol on Terence Kwoki loodud blockchain-põhine digitaalse identiteedi projekt. Projekti eesmärk on lubada kasutajatel tõestada, et nad on unikaalsed inimesed, ilma et peaksid toetuma traditsioonilistele valitsuspoolsetele identifitseerimisvahenditele või avaldama oma tundlikku isiklikku teavet chainil.

Erinevalt projektidest, mis kasutavad silmairis- või näoääristust, keskendub Humanity Protocol käepea biomeetrilisele verifitseerimisele. Protokoll propageerib seda lähenemist privaatsust rõhutavana alternatiivina „Inimese tõendamise“ (Proof of Humanity) loomiseks, mida saab kasutada deentraliseeritud rakendustes, sotsiaalplatvormidel ja blockchaini ökosüsteemides.

Projekt pälvis olulist tähelepanu oma arendusperioodil ja kogus rahastust mitmetelt investoritelt, sealhulgas venture capitali firmadelt, kes tegutsevad krüptovaluutasektoris. Humanity Protocol positsioneeris end lahendusena kasvavatele muredele Sybil-rünnakute, botitegevuse, valekontode ja inimeste ning AI-ga loodud identiteetide eristamise keerukuse kohta internetis.

Pika testneti kampaania ja kogukonna kasvu tegevuste järel lansseeris Humanity Protocol oma native $H-tähte 2026. aastal. Token on mõeldud protokolli ökosüsteemi ja identiteediinfrastruktuuri toetamiseks. Siiski on projekt kaasaegselt kahtlustatud osa krüptokogukonnast oma tokeni majanduse, turutegevuse ja hindamise kohta pärast tokeni lansseerimist.

Viimane turvainsidents toimus vaid nädalaid pärast $H-tähte lansseerimist ja just enne plaanitud tokenite avamist, mis paneb projekti täiendavalt tähelepanu alla, kuna uurijad jätkavad rünnaku analüüsimist ja varastatud vahendite jälgimist.