Humanity Protocol affirme qu'un attaquant a volé sept clés d'un seul appareil

Humanity Protocol a identifié une machine de développeur infectée par un malware comme étant la source de la faille de sécurité qui a conduit au vol et à la frappe non autorisée d'environ 447 millions de tokens H sur la Blockchain Ethereum et BNB Smart Chain.

Selon le rapport d'incident de Humanity Protocol, un attaquant a obtenu un accès root à un appareil de développeur et s'est procuré sept clés privées qui avaient été sauvegardées par inadvertance lors du lancement du mainnet du projet en juin 2025. 

Les clés comprenaient la clé du portefeuille chaud admin, trois clés de propriétaires Ethereum Safe et trois clés de propriétaires BSC Safe, offrant à l'attaquant un accès à l'infrastructure critique depuis une seule machine compromise.

Ces découvertes apportent de nouveaux détails sur une attaque qui avait précédemment provoqué une chute brutale du H avant une reprise partielle. Le 10 juin, le token s'échangeait aux alentours de 0,163 $, en hausse de 23,7 % sur 24 heures, bien qu'il soit resté en baisse de 74,1 % sur la semaine précédente suite à l'exploit.

Humanity Protocol a indiqué que l'incident n'était pas dû à une faille dans ses contrats de bridge, ses contrats de tokens ou son architecture Safe. L'attaquant a plutôt utilisé des clés privées valides pour autoriser des transferts, des transactions Safe et des mises à niveau de contrats après avoir obtenu le contrôle des identifiants.

L'attaquant a utilisé des clés volées pour prendre le contrôle du bridge

D'après le rapport, l'attaque s'est déroulée en trois actions distinctes entre le 8 et le 9 juin.

Lors de la première vague, 6,04 millions de H ont été vidés d'un portefeuille chaud admin Ethereum après que sa clé privée a été compromise. À partir de là, l'attaquant s'est attaqué à l'infrastructure de bridge du protocole.

À l'aide de trois clés volées provenant d'un Ethereum Safe à six membres, l'attaquant a transféré la propriété du Bridge ProxyAdmin vers un portefeuille sous son contrôle. Après avoir obtenu le contrôle administratif, l'attaquant a mis à niveau le bridge avec une implémentation malveillante et a vidé 141,18 millions de H en une seule transaction.

Humanity Protocol a indiqué que la transaction portait les signatures nécessaires pour satisfaire aux exigences de seuil du Safe, permettant ainsi à la mise à niveau d'apparaître comme une action autorisée plutôt que comme une exploitation de smart contract.

Sur BNB Smart Chain, un ensemble distinct de trois clés Safe compromises a donné à l'attaquant le contrôle du ProxyAdmin du token. Après avoir déployé une implémentation malveillante, l'attaquant a exécuté trois transactions de frappe de 100 millions de H chacune, augmentant ainsi l'offre du token d'environ 141,1 millions à 441,1 millions de H.

L'enquête pointe vers un point de compromission unique

Tandis que les actifs du bridge Ethereum ont été vidés, le rapport a décrit le token BSC comme irrécupérable car l'attaquant contrôle toujours le ProxyAdmin et peut continuer à frapper des tokens supplémentaires. Humanity Protocol a indiqué que l'attaquant conserve la propriété des contrats d'administration du bridge et du token affectés par l'incident.

Les divulgations antérieures du projet s'étaient concentrées sur des appareils d'employés compromis et des clés Safe volées. Les dernières conclusions forensiques ont réduit la cause à une seule machine de développeur infectée par un malware qui stockait de multiples sauvegardes sensibles. Selon le rapport, les enquêteurs estiment que les sept clés privées ont été obtenues à partir de cet unique appareil.

Plusieurs questions restent sans réponse. Humanity Protocol a déclaré n'avoir pas encore déterminé quand l'attaquant a obtenu l'accès pour la première fois, comment la machine a été compromise, ni combien de temps les identifiants volés ont été détenus avant que l'attaque ne soit menée.

En réponse à l'incident, le projet a suspendu les dépôts et les retraits via les bridges affectés, lancé un tracker de récupération public et offert une prime de 1 million USDT pour toute information menant à la récupération des actifs. Humanity Protocol avait précédemment indiqué que les fonds récupérés seraient utilisés pour racheter des tokens H.