Protocolul Humanity tocmai a lansat raportul oficial de investigație referitor la atacul devastator din 8 iunie, care a dus la pierderi de peste 31 de milioane de dolari.
Dacă crezi că a fost un exploit foarte sofisticat al contractului inteligent... gândește-te din nou.
Zero Bugs, Eșec Pur de OpSec
Raportul afirmă explicit că nu a existat NICIUN bug în pod, în token sau în contractele inteligente Safe. Codul a funcționat perfect.
Atacatorul a intrat pur și simplu pe ușa din față folosind chei private legitime.
Cum s-a întâmplat?
Infectare cu malware:
Un dispozitiv al dezvoltatorului a fost infectat cu malware, oferind hackerului acces complet la root.
Greșeala Fatală:
În timpul lansării mainnet-ului proiectului în jurul lunii iunie 2025, mai multe chei private critice au fost inadvertent salvate pe acel dispozitiv exact.
Jackpot-ul:
Datorită acestui backup local, atacatorul a reușit să obțină TOATE cele 7 chei critice de la un
punct unic de compromis:
Cheia portofelului Admin Hot
Chei sigure ale proprietarilor Ethereum (ETH)
Chei sigure ale proprietarilor BSC
Cu toate aceste chei în mână, hackerul a autorizat ușor transferuri, tranzacții sigure și upgrade-uri proxy.
Concluzia Principală
Un portofel multi-sig ar trebui să distribuie puterea astfel încât nicio persoană sau dispozitiv singular să nu poată compromite fondul. Stocarea mai multor chei ale proprietarilor pe un singur dispozitiv conectat la internet anulează complet scopul descentralizării.
Rapiditatea și comoditatea în timpul lansării mainnet-ului nu ar trebui să vină în detrimentul opSec-ului de bază.
Ce părere aveți, băieți? E timpul pentru audite de securitate mai stricte pe fluxurile de lucru ale dezvoltatorilor, nu doar pe cod? Spuneți-mi mai jos! 👇