Humility Protocol meldet Diebstahl von 36 Mio. US-Dollar durch Bridge-Exploits

Odaily Planet Daily berichtet: Humility Protocol hat auf X ein Update zu einem Sicherheitsvorfall veröffentlicht. Demnach wurde der H-Token gestern zeitgleich auf Ethereum und BSC angegriffen. Bestätigt wurden Diebstahl und Abverkauf von Vermögenswerten im Wert von über 36 Mio. US-Dollar. Nach ersten Erkenntnissen nahm der Vorfall seinen Ausgang von einem kompromittierten Mitarbeiterrechner. Dadurch seien die Private Keys der Multisig-Wallet offengelegt worden, die den Hyperlane-Bridge-ProxyAdmin steuert. Auf Ethereum erlangte der Angreifer die Private Keys von drei der sechs Owner eines Gnosis Safe, übertrug die Kontrolle über den ProxyAdmin auf eine eigene Wallet, upgrade'te den Bridge-Contract auf eine bösartige Implementierung und bewegte anschließend in einer einzelnen Transaktion rund 141,2 Mio. H-Token. Auf der BSC-Chain soll der Angreifer zudem drei von fünf Private Keys der zugehörigen Safe-Wallet übernommen haben, den ProxyAdmin auf identische Weise kontrolliert und einen schädlichen Contract mit unbegrenzter Mint-Funktion ausgerollt haben. In zwei Transaktionen wurden 200 Mio. H-Token an die Wallet des Angreifers gemintet. Humility teilte mit, Ein- und Auszahlungen für den betroffenen Bridge-Service seien ausgesetzt. Das Team arbeite mit Börsen und weiteren Partnern zusammen, um Verluste zu begrenzen, kooperiere mit Strafverfolgungsbehörden und versuche, einen Teil der entwendeten Mittel zurückzuholen.