Humanity Protocol ha explicado cómo los atacantes lograron robar más de 36 millones de dólares en su token H, y la causa fue un fallo de seguridad básico en la gestión de sus claves criptográficas.
Según una actualización del incidente compartida con CoinDesk, la brecha comenzó cuando se comprometió el portátil de un empleado. Ese equipo contenía varias claves que controlaban los puentes de tokens del proyecto, las herramientas que mueven H (y otros activos) entre diferentes blockchains.
Un multifirma que no era tal
Esos puentes funcionaban mediante carteras multifirma (multisig), que requieren un número determinado de claves separadas para aprobar cualquier cambio. Una cartera multifirma debería distribuir las claves entre diferentes personas y dispositivos, de modo que ninguna máquina individual pueda mover fondos.
En este caso, todas las claves estaban almacenadas en un único dispositivo, lo que permitió al atacante superar el umbral de aprobación en ambas cadenas, según confirmó Humanity.
El atacante obtuvo tres de las seis claves que controlaban la cuenta de administrador del puente en Ethereum, suficientes para tomar el control del despliegue del proyecto en esa red. Después transfirió la propiedad a su propia cartera, sustituyó el código del puente por una versión maliciosa y extrajo unos 141 millones de tokens H en una sola transacción.
En un mensaje de Telegram a CoinDesk, el fundador de Humanity, Terence Kwok, explicó que el equipo había configurado una cartera multifirma entre cuatro individuos (como debía ser). Humanity sospecha que
«algunas de las claves fueron respaldadas accidentalmente en un dispositivo comprometido durante la configuración», declaró Kwok.
Añadió que utilizan
«un custodio con licencia para la mayoría del tesoro de tokens, MPC para el tesoro operativo, y para ciertos contratos las claves multifirma se configuraron en un lugar y luego se dispersaron. Desafortunadamente, en este escenario, las claves fueron respaldadas en un dispositivo comprometido».
Doble golpe en Ethereum y BNB Chain
El atacante ejecutó pasos similares en BNB Chain, utilizando tres de cinco claves. Esta vez instaló código con una función de acuñación ilimitada, que permitía crear tokens a voluntad, y acuñó directamente unos 200 millones de nuevos tokens H en su cartera.
Humanity ha retirado desde entonces la página de equipo de su sitio web. El proyecto ha detenido depósitos y retiradas en los puentes afectados y está colaborando con exchanges y la policía para recuperar los fondos.
Humanity recaudó 20 millones de dólares de Pantera Capital y Jump Crypto el año pasado, con una valoración de 1.100 millones de dólares.
ZachXBT, un destacado investigador on-chain, señaló que el compromiso de claves y otra ronda sospechosa de market-making del token no estaban conectados. También planteó dudas sobre cómo cotizó el token en las semanas previas a la brecha, antes de un gran desbloqueo programado, cuando el precio de H subió de 20 a 70 centavos en dos semanas.
El token ha recuperado parte del terreno perdido. Tras caer hasta unos 5 centavos durante el ataque, se recuperó hasta cerca de 20 centavos, según datos de CoinGecko. Sin embargo, permanece muy por debajo del nivel previo a la brecha de aproximadamente 67 centavos.
Fuente: CoinDesk · Esta información ha sido elaborada por la redacción de Criptonews con apoyo de herramientas editoriales automatizadas.