Взлом токена H связали с заражённым вредоносным ПО компьютером разработчика

Команда проекта, пострадавшего от инцидента с токеном H, заявила, что причиной стала заражённая вредоносным ПО машина разработчика. По данным постмортема, на устройстве оказались скомпрометированы семь приватных ключей, что позволило злоумышленнику получить контроль над инфраструктурой моста и спровоцировать один из крупнейших токенных инцидентов месяца. В отчёте говорится, что после захвата административных прав моста атакующий вывел 141 млн токенов H в сети Ethereum и дополнительно выпустил 300 млн H в сети BNB Chain. При этом авторы подчёркивают: уязвимостей в контрактах моста, контрактах токена или в самой multisig-архитектуре выявлено не было. "Не было бага ни в мосте, ни в токене, ни в Safe", отмечает команда. Ключевым фактором стала компрометация устройства разработчика, на котором, как утверждается, хранились резервные копии нескольких приватных ключей продакшн-уровня. Как злоумышленник получил админ-доступ к мосту Согласно отчёту, сначала была взломана externally owned account (EOA), связанная с администрированием моста. Затем атакующий получил контроль над контрактами ProxyAdmin протокола. Это дало возможность обновлять реализации моста, выводить ликвидность в Ethereum и выпускать крупные объёмы H в BNB Chain. Команда заявила, что объём предложения токена на стороне BNB Chain теперь считается "невозвратимым", поскольку злоумышленник по-прежнему контролирует ключевые права моста, привязанные к скомпрометированной инфраструктуре. Фактически компрометация приватных ключей переросла в полный захват администрирования моста. Отчёт указывает на провал операционной безопасности В отличие от многих DeFi-взломов, где причиной становятся баги смарт-контрактов или ошибки логики протокола, инцидент с H, судя по описанию, связан прежде всего с проблемами операционной безопасности. Один заражённый компьютер раскрыл семь продакшн-ключей, относящихся к системам моста и администрирования. В результате атакующий действовал в рамках "легитимных" разрешений, не обходя защитные механизмы протокола напрямую. Случай усилил отраслевые опасения: даже при декларируемой децентрализации инфраструктура может выходить из строя катастрофически, если управление приватными ключами и безопасность конечных устройств остаются фактически централизованными. Инцидент вызвал обсуждение в сети Взлом также спровоцировал дискуссию в Crypto Twitter. Ончейн-исследователь ZachXBT поначалу поставил под вопрос маркетмейкинг и OTC-активность проекта, позже уточнив, что к самому взлому это, по его оценке, не относится. В серии публикаций ZachXBT сначала выражал обеспокоенность действующими соглашениями по маркетмейкингу и активностью по продвижению токена, но затем сообщил, что дальнейший анализ указывает на независимый характер "компрометации приватных ключей" и "подозрительной MM/OTC-активности" — "они не связаны друг с другом". Его комментарии отразили общий скепсис рынка: трейдеры пытались понять, был ли взлом результатом инсайдерских действий или реальной компрометации инфраструктуры. Итог Эксплойт токена H связали с заражённым устройством разработчика, из-за чего были раскрыты семь приватных ключей, используемых для администрирования моста. ZachXBT позднее уточнил, что его отдельные вопросы к маркетмейкингу и OTC-операциям не имеют прямой связи с компрометацией ключей.