Humanity Protocol veröffentlicht einen Forschungsbericht über den Angriff vom 8. Juni, bei dem der Angreifer sieben private Keys über ein einziges kompromittiertes Gerät erlangen konnte. Der Schaden beläuft sich auf mehr als 31 Millionen US-Dollar. Es handelt sich nicht um eine Schwachstelle in den Smart Contracts, sondern um einen menschlichen Fehler bei der Speicherung von Schlüsseln.
Malware auf Entwicklerrechner gewährt Zugriff auf alle Schlüssel
Aus dem offiziellen Incident Report von Humanity Protocol geht hervor, dass der Rechner eines Mitarbeiters mit Malware infiziert wird, wodurch der Angreifer vollständigen Root-Zugriff auf das Gerät erhält. Während des Mainnet-Launches des Projekts, etwa vor einem Jahr im Juni 2025, werden versehentlich mehrere private Keys als Backup auf diesem Gerät gespeichert.
Es handelt sich um insgesamt sieben Schlüssel: den Admin-Hot-Wallet-Private-Key, drei ETH-Safe-Owner-Keys und drei BSC-Safe-Owner-Keys. Da alle diese Schlüssel an einem Ort gespeichert sind, reicht dies aus, um die vollständige Kontrolle zu erlangen. Der Angreifer muss daher nur eine einzige Schwachstelle finden. Wann genau der Angreifer Zugriff auf das Gerät erhielt und wie lange er die Schlüssel vor dem Angriff am 8. Juni in seinem Besitz hatte, bleibt unklar. Der Bericht gibt an, dass der Angriff möglicherweise lange im Voraus geplant wurde.
Kein Bug im Code, aber ein operationelles Sicherheitsproblem
Humanity Protocol betont, dass kein Fehler in den Smart Contracts, der Bridge, dem Token oder dem Safe vorliegt. Alle Handlungen, die der Angreifer durchführt, darunter Transfers, Safe-Transaktionen und Proxy-Upgrades, werden mit legitimen private Keys autorisiert. Der Angreifer handelt technisch gesehen also vollständig als ein legitimer Benutzer.
Das Protokoll folgert, dass der Angriff vollständig durch mangelhafte Speicherung von Produktionsschlüsseln ermöglicht wurde. Diese wurden auf einem allgemeinen Entwicklungsgerät statt auf isolierten Hardware-Wallets aufbewahrt. Der Bericht bezeichnet dies als ein menschliches und operationelles Sicherheitsversagen. Der Gesamtschaden beläuft sich auf mehr als 31 Millionen US-Dollar, womit dies einer der größeren Vorfälle im jüngsten Ethereum-Ökosystem ist.