O Humanity Protocol acabou de lançar seu relatório oficial de investigação sobre o ataque devastador de 8 de junho, que resultou em mais de $31 milhões em perdas.
Se você acha que isso foi uma exploração de smart contract altamente sofisticada... pense de novo.
Zero Bugs, Falha Pura de OpSec
O relatório afirma explicitamente que NÃO houve bug na ponte, no token ou nos smart contracts Safe. O código funcionou perfeitamente.
Em vez disso, o atacante entrou pela porta da frente usando chaves privadas legítimas.
Como Isso Aconteceu?
Infecção por Malware:
A máquina de um desenvolvedor foi infectada com malware, dando ao hacker acesso root total.
O Erro Fatal:
Durante o lançamento da mainnet do projeto em torno de junho de 2025, várias chaves privadas críticas foram inadvertidamente salvas naquele mesmo dispositivo.
O Grande Prêmio:
Por causa desse backup local, o atacante conseguiu retirar TODAS as 7 chaves críticas de um
ponto único de comprometimento:
Chave da Hot Wallet Administrativa
Chaves de Proprietário Seguras do Ethereum (ETH)
Chaves de Proprietário Seguras da BSC
Com todas essas chaves em mãos, o hacker facilmente autorizou transferências, transações seguras e upgrades de proxy.
A Grande Lição
Uma carteira multi-sig deve distribuir o poder para que nenhuma pessoa ou dispositivo único possa comprometer os fundos. Armazenar várias chaves de proprietário em uma única máquina conectada à internet acaba com o propósito da descentralização.
Velocidade e conveniência durante o lançamento da mainnet nunca devem vir à custa da OpSec básica.
O que vocês acham? É hora de auditar a segurança dos workflows dos desenvolvedores com mais rigor, não apenas o código? Me avisem nos comentários! 👇