TechFlowより、6月14日、Humanityが公表したQuantstampによる独立調査報告書によると、攻撃者は韓国の取引所Bithumbを装ったフィッシングメールをプロジェクトの取締役に送付し、そのメールを通じて悪意ある添付ファイルを開かせ、端末にリモートコントロール型トロイの木馬をインストール。最終的に、攻撃者は完全なデスクトップ制御権限およびウォレットの秘密鍵を入手した。
この権限を獲得した後、攻撃者はイーサリアムおよびBNB Chainの両ネットワークで攻撃を実行した。イーサリアム側では、盗まれた秘密鍵を用いてスマートコントラクトをアップグレードし、約1億4,118万枚のHトークンを転送した。一方、BNB Chain側ではProxyAdminコントラクトを乗っ取り、新規トークンを自由に発行(ミント)した。盗まれた資産はその後、UniswapおよびPancakeSwapで約8時間にわたって継続的に売却され、市場の流動性およびトークン価格に明確な打撃を与えた。
報告書によれば、現時点ではイーサリアム上のHトークンコントラクトは凍結されており、メインネットのブリッジには影響が及んでいない。しかし、BNB Chain上でのデプロイは依然として攻撃者によって制御されており、ミント権限も保持されたままとなっている。プロジェクト側は、取引所およびセキュリティ機関と連携して今後の対応および復旧作業を進めていると表明しており、同時にユーザーに対し、偽の補償や受け取りリンクなど、あらゆる不審なリンクへの注意を呼びかけている。なお、これ以前にもHumanity Protocolは、財団メンバーの秘密鍵漏洩により、3,100万ドル以上に上る資産が盗まれる事態に見舞われていた。
お気に入りに追加
SNSで共有
