Humanity Protocol: H-Token-Exploit durch kompromittierten Entwicklerrechner ausgelöst

Humanity Protocol zufolge wurde der Exploit, der den H-Token am späten Montag traf, durch einen kompromittierten Entwicklerrechner ausgelöst. Dadurch seien mehrere private Schlüssel offengelegt worden, die zur Token- und Bridge-Infrastruktur des Projekts gehören. In einem Post-Mortem-Update teilte das Team mit, der Rechner eines Kollegen sei mit Malware infiziert gewesen; der Angreifer habe Root-Zugriff erlangt. Während des Mainnet-Starts von Humanity Protocol um Juni 2025 seien auf diesem Gerät versehentlich mehrere Produktionsschlüssel in Backups gelandet. Darunter befanden sich der Schlüssel einer Admin-Hot-Wallet, drei Ethereum-Safe-Owner-Keys sowie drei BSC-Safe-Owner-Keys. Der Vorfall betraf den H-Token auf Ethereum und BSC im Zeitraum vom 8. bis 9. Juni. Nach Darstellung des Teams entwendete der Angreifer zunächst rund 6 Millionen H aus einer Admin-Hot-Wallet auf Ethereum. Anschließend wurden etwa 141 Millionen H aus der Ethereum-Bridge abgezogen, nachdem der Angreifer die Kontrolle über deren ProxyAdmin übernommen hatte. Auf BSC wurden zudem 300 Millionen H neu geprägt, nachdem drei Safe-Owner-Keys kompromittiert worden waren, die mit dem ProxyAdmin des BSC-Tokens verknüpft sind. Die Gesamtauswirkung summiere sich auf rund 447 Millionen H über beide Chains hinweg, bestehend aus dem direkten Diebstahl auf Ethereum, dem Bridge-Abzug und den neu geminteten BSC-Token. Humanity betonte, dass 15 Millionen H, die zunächst in die Ethereum-Bridge bewegt wurden, bereits in den 141 Millionen H des Bridge-Abzugs enthalten seien und nicht separat gezählt werden sollten. Besonders schwerwiegend sei die Lage auf BSC. Laut Humanity kontrolliert der Angreifer weiterhin den ProxyAdmin des BSC-Tokens und könne damit weiterhin Token minten, pausieren oder abziehen. Der BSC-H-Token sei nicht wiederherstellbar und müsse als dauerhaft kompromittiert betrachtet werden. Auf Ethereum wurde der H-Token nach dem Vorfall durch einen sauberen 4-von-7-Safe eingefroren. Humanity erklärte, der ProxyAdmin des Ethereum-Tokens befinde sich weiterhin unter Kontrolle eines sauberen Safes. Die kanonische Arbitrum-Bridge sei nicht betroffen und halte weiterhin rund 87 Millionen H. Humanity unterstrich zudem, dass der Angriff nicht auf eine Schwachstelle in den Smart Contracts, dem Bridge-Code oder dem Safe-Setup zurückzuführen sei. Stattdessen seien legitime private Schlüssel genutzt worden, um Transfers, Safe-Transaktionen, Proxy-Upgrades, Bridge-Abzüge und Token-Mints zu autorisieren. Das Team untersucht nach eigenen Angaben weiterhin, wann sich der Angreifer erstmals Zugang verschafft hat, wie die Malware das Gerät kompromittierte und wie lange die Schlüssel vor der Ausführung des Angriffs in dessen Besitz waren. Externe Sicherheitsexperten wurden für eine forensische Untersuchung hinzugezogen; zudem arbeite man an einem Recovery-Programm für betroffene Nutzer. Der H-Token brach nach dem Vorfall am späten Montag und frühen Dienstag um mehr als 90% ein, erholte sich bis Dienstagmorgen aber um über 100%. Zuletzt notierte der Token nahe 0,21 US-Dollar und lag damit weiterhin knapp 70% unter dem Niveau vor dem Exploit von rund 0,68 US-Dollar.