Humility Protocol meldet Diebstahl von 36 Mio. US-Dollar nach Bridge-Exploits

Laut einem Bericht von ChainCatcher hat Humility Protocol auf X ein Update zu einem Sicherheitsvorfall veröffentlicht. Demnach wurden gestern H-Token auf Ethereum und BSC Ziel eines koordinierten Angriffs. Bestätigt wurden Abflüsse von Vermögenswerten im Umfang von mehr als 36 Mio. US-Dollar, die bereits veräußert worden seien. Ersten Erkenntnissen zufolge geht der Vorfall auf einen kompromittierten Mitarbeiter-Computer zurück. Dadurch seien Private Keys der Multisig-Wallet offengelegt worden, die die Hyperlane-Bridge-ProxyAdmin steuert. Auf Ethereum sollen Angreifer Zugriff auf die Private Keys von drei der sechs Signer eines Gnosis Safe erlangt, die Eigentümerschaft des ProxyAdmin an eine von ihnen kontrollierte Wallet übertragen und den Bridge-Contract auf eine bösartige Implementierung aktualisiert haben. Anschließend seien in einer Transaktion rund 141,2 Mio. H-Token abgezogen worden. Auf BSC hätten die Täter zudem die Private Keys von drei der fünf Signer der Safe-Wallet unter ihre Kontrolle gebracht, den ProxyAdmin auf gleiche Weise übernommen und einen schädlichen Vertrag mit unbegrenzter Mint-Funktionalität bereitgestellt. In zwei separaten Transaktionen seien 200 Mio. H-Token an die eigene Wallet geprägt worden. Humility Protocol hat Ein- und Auszahlungen für die betroffenen Bridge-Dienste ausgesetzt und arbeitet nach eigenen Angaben mit Börsen und weiteren Partnern zusammen, um die Schäden zu begrenzen. Zudem kooperiere das Team mit Strafverfolgungsbehörden bei den Ermittlungen und versuche, Teile der entwendeten Mittel zurückzuerlangen.