Атака на криптовалютный протокол Humanity, ущерб от которой оценивается в $36 млн, началась с фишинговой кампании, нацеленной на одного из директоров проекта. Как показало расследование специалистов по безопасности компании Quantstamp, модель действия взломщиков «характерна для вторжений, связанных с КНДР».
Злоумышленники отправили поддельное письмо от имени южнокорейской криптобиржи Bithumb, с которой директор Humanity вел переписку. В письме содержался вредоносный файл: после активации файла в устройство топ-менеджера проник установщик программного обеспечения для удаленного доступа, которое смогло обойти системы защиты.
Получив доступ к устройству, злоумышленники извлекли данные кошельков и приватные ключи, связанные с административными аккаунтами, а затем использовали для атаки. Они обновили контракт в Эфириуме и перевели около 141,18 млн нативных токенов H. Потом на BNB Smart Chain злоумышленники получили контроль над контрактом ProxyAdmin и выпустили дополнительные необеспеченные токены.
Только что эмитированные и украденные легальные токены были проданы на децентрализованных биржах, включая Uniswap и PancakeSwap. Все это заняло примерно восемь часов, показало расследование Quantstamp. Атака сократила ликвидность H и вызвала резкое падение рыночной стоимости токена. Расследование Quantstamp показало, что инфраструктура вредоносного ПО и поведение при подписании сертификатов напоминают технику, характерную для северокорейских хакеров.
В Humanity Protocol заявили, что злоумышленники все еще сохраняют административный контроль над скомпрометированным контрактом на BNB Smart Chain и могут продолжать выпуск токенов. Команда протокола планирует полностью отказаться от затронутой версии BNB Smart Chain. Пользователям рекомендовано временно отозвать разрешения на контракты до завершения дополнительных проверок безопасности.
На следующий день после атаки, 9 июня, токен H упал до $0,08. Однако постепенно нативная криптовалюта платформы стала восстанавливаться. В воскресенье, 14 июня, H торгуется по $0,36 — рост за последние сутки превысил 72%.
Спустя несколько дней после атаки на Humanity произошел взлом другой платформы: неизвестные похитили $1,34 млн у криптобиржи Raydium, работающей на блокчейне Solana. Хакеры не получили доступа к административным приватным ключам, а воспользовались критической ошибкой проверки устаревших смарт‑контрактов Raydium, выяснили аналитики компании GoPlus Security.
