أعلنت شركة Humanity Protocol أن المهاجمين سرقوا أكثر من 36 مليون دولار في رموز H بعد أن أدى اختراق حاسوب محمول تابع لموظف إلى كشف مفاتيح مرتبطة بإدارة الجسر على شبكتي Ethereum وBNB Chain. فقدت ثلاثة من ستة مفاتيح المالكين الخاصة بـ Gnosis Safe، ما منح المهاجمين السيطرة لترقية عقود الجسر إلى إصدارات ضارة. وعلى Ethereum، استنزف المهاجمون نحو 141.2 مليون من رموز H؛ وعلى BNB Chain، قاموا بإصدار 200 مليون من رموز H مباشرة إلى محافظهم بعد إضافة وظيفة إنشاء رموز غير محدودة.
المهاجمون اختَرَقوا ثلاثة مفاتيح لـ Gnosis Safe للسيطرة على عقود الجسر
في تحديث للحادثة، قالت Humanity Protocol إن الهجوم أثر على توكن H على كل من Ethereum وBNB Chain. فقدت ثلاثة من ستة مفاتيح مالكي Gnosis Safe، ما وفر للمهاجمين سيطرة كافية لتولي إدارة الجسر. وبمجرد الحصول على السيطرة، قاموا بترقية عقود الجسر إلى إصدارات خبيثة.
على Ethereum، استنزف المهاجمون نحو 141.2 مليون توكن H. وعلى BNB Chain، أضافوا دالة تسمح بإنشاء توكنات غير محدود، ثم أصدروا 200 مليون توكن H مباشرة إلى محافظهم الخاصة. قال مؤسس Humanity Terence Kwok إن المشروع يستخدم ضوابط متعددة التوقيعات عبر 4 أفراد، لكنه أشار إلى أن بعض المفاتيح ربما انكشفت أثناء الإعداد. وقال: "ما نعتقد أنه حدث هو أن بعض المفاتيح تم نسخها احتياطيًا بالخطأ على جهاز مُخترَق"، وفقًا لكوك.
نسخة احتياطية للحاسوب المحمول كشفت عدة مفاتيح توقيع أثناء الإعداد
قال كوك إن Humanity تستخدم "مُكمِّل رخصي للغالبية من خزانة توكنات" وMPC لخزانة عملياتها. ومع ذلك، ذكر أيضًا أنه "بالنسبة لبعض العقود، تم إعداد مفاتيح multisig في مكان واحد ثم توزيعها"، ما ترك بعض المفاتيح محفوظة بنسخ احتياطية على جهاز مُخترَق.
وتبرز أهمية هذا التفريق لأن حفظ الخزانة والتحكم في العمليات قد يبدوان قويين، لكن إدارة الجسر قد تظل عرضة للخطر إذا كانت صلاحيات ترقية العقود أو سلطة الإصدار أو ضوابط الطوارئ تعتمد على مفاتيح تم كشفها. وفي هذه الحالة، لم يقم المهاجمون فقط بتحريك الأصول القائمة—بل قاموا بتغيير العقود نفسها وخلق إمداد توكن جديد على سلسلة واحدة.
المحققون على السلسلة شككوا مبدئيًا في نشاط صانع السوق
انخفض توكن H بأكثر من 85% بعد أن كشفت Humanity عن اختراق المفتاح الخاص. وأدى الانهيار إلى تدقيق من محققي سلاسل الكتل، جزئيًا لأن بعض أعضاء المجتمع تساءلوا عما إذا كان الهجوم خارجيًا بالكامل أم مرتبطًا بنشاط غير معتاد في التوكن قبل موعد إفراج قادم.
وشكك محقق سلاسل الكتل ZachXBT مبدئيًا في ما إذا كانت أنشطة صانع السوق والبيع عبر البيع خارج البورصة (OTC) لدى Humanity مرتبطة بالاستغلال. ثم قال لاحقًا إنه بعد مزيد من التحليل، بدا أن نشاط صانع السوق وOTC مستقلان عن اختراق المفتاح الخاص.
وقال Hakan Unal، كبير عمليات الأمن في Cyvers، إن سلوك السلسلة قد يبدو متشابهًا في البداية بين اختراق حقيقي وحادثة مُعدة على مراحل، لأن المهاجم يملك صلاحيات إدارية شرعية في الحالتين. وأضاف: "ما يميزها هو السلوك المحيط بها. فغالبًا ما يُظهر الاختراق الحقيقي سرعة وارتجالًا: اندفاع الأموال إلى محافظ جديدة، وتبديلات بأسعار سيئة، واستخدام mixer، وعدم وجود توقيت داخلي."
ورأى Unal أن الحادثة المُعدة على مراحل قد تُظهر بدلًا من ذلك توقيتًا مشبوهًا قرب عمليات الإفراج أو التحصين، أو تركيزًا في المعروض، أو حركة منظمة، أو عائدات تعود في النهاية إلى عناوين مرتبطة بالفريق أو صناع السوق. وقال: "في الوقت الحالي، الأدلة متباينة، ولذلك ما زال السؤال مفتوحًا."
وقال Elton Shehdula، رئيس أبحاث Allium Labs، إن نمط الاستغلال على السلسلة يشير إلى عملية محتملة مُخطط لها ومنسقة وليس مجرد تصرف انتهازي منفرد. وأضاف أن المحافظ تم تمويلها من بورصة ومن mixer قبل أسابيع من الهجوم، وأن سلطة الإصدار كانت "مُهيأة" قبل أيام من الهجوم، وأن عملية البيع تمت عبر سلسلتين في الوقت نفسه. وقال Shehdula إن الإعداد يتوافق مع خيار "عميل داخلي أو فاعل خارجي" كان يحمل بهدوء المفتاح المُخترق لفترة من الوقت.
Humanity Protocol أوقفت إيداعات وسحوبات الجسر
وقفت Humanity الإيداعات والسحوبات إلى الجسور المتأثرة وقالت إنها تعمل مع البورصات والأطراف ذات الصلة للحد من الضرر ومراجعة خيارات الاسترداد. وحذر Kwok المستخدمين من التفاعل مع الجسر أو مجمعات السيولة بعد الكشف عن الاختراق.
الأسئلة الشائعة
كيف سرق المهاجمون 36 مليون دولار من Humanity Protocol؟
اختَرَق المهاجمون ثلاثة من ستة مفاتيح مالكي Gnosis Safe عبر حاسوب محمول لموظف، ما منحهم السيطرة على إدارة الجسر على Ethereum وBNB Chain. وقاموا بترقية عقود الجسر إلى إصدارات خبيثة، واستنزفوا 141.2 مليون توكن H على Ethereum، وأصدروا 200 مليون توكن H على BNB Chain.
لماذا أدى حاسوب محمول مُخترق واحد إلى أزمة على مستوى البروتوكول؟
قال مؤسس Humanity Terence Kwok إن بعض مفاتيح multisig تم إعدادها في مكان واحد ثم توزيعها، ما ترك مفاتيح بَنسخ احتياطي بالخطأ على جهاز مُخترق. وهذا سمح للمهاجمين بالتحكم في صلاحيات ترقية الجسر وسلطة الإصدار، مما مكنهم من تغيير العقود وإنشاء إمداد توكن جديد.
ما الإجراءات التي اتخذتها Humanity Protocol بعد الهجوم؟
أوقفت Humanity الإيداعات والسحوبات إلى الجسور المتأثرة وذكرت أنها تعمل مع البورصات والأطراف ذات الصلة للحد من الضرر ومراجعة خيارات الاسترداد. وحذر البروتوكول المستخدمين من التفاعل مع الجسر أو مجمعات السيولة بعد الكشف عن الاختراق.
