Humanity Protocol: yksi saastunut kehittäjäkone paljasti seitsemän yksityisavainta
- Murron lähde oli yksi haittaohjelman saastuttama kehittäjäkone, ei sopimuksen tai sillan koodivirhe.
- Koneelta löytyi seitsemän yksityisavainta, jotka oli varmuuskopioitu vahingossa kesäkuun 2025 mainnet-julkaisussa.
- Hyökkääjä tyhjensi Ethereum-sillasta 141,18 miljoonaa H:ta ja loi BSC:llä 300 miljoonaa uutta tokenia.
- BSC-token on menetetty pysyvästi, koska hyökkääjä hallitsee yhä ProxyAdminia ja voi luoda lisää tokeneita.
Älysopimukset pitivät, ihminen ei. Lähes 447 miljoonaan H-tokeniin kohdistunut isku – osin tyhjennettyä, osin uutena lyötyä – ei johtunut koodivirheestä vaan yhdestä haittaohjelman saastuttamasta läppäristä, jonne mainnet-julkaisun avaimet oli vahingossa varmuuskopioitu.
Koodi kesti. Murtui ihminen. Humanity Protocol on jäljittänyt lähes 447 miljoonan H-tokenin menetyksen yhteen ainoaan haittaohjelman saastuttamaan kehittäjäkoneeseen, ei lohkoketjun heikkouteen.
Hyökkääjä sai koneelle root-oikeudet ja seitsemän yksityisavainta. Avaimet oli varmuuskopioitu vahingossa kesäkuun 2025 mainnet-julkaisun yhteydessä, ja ne löytyivät kaikki samalta laitteelta.
Mukana olivat ylläpidon hot wallet -avain, kolme Ethereumin Safe-omistaja-avainta ja kolme BNB Smart Chainin Safe-avainta. Yksi saastunut läppäri antoi siis pääsyn koko kriittiseen infrastruktuuriin.
– Hyökkääjä käytti aitoja yksityisavaimia valtuuttaakseen siirrot, Safe-tapahtumat ja sopimuspäivitykset saatuaan tunnukset haltuunsa, Humanity Protocol kertoo häiriöraportissaan.
Tapahtumissa oli mukana päteviä allekirjoituksia, jotka täyttivät Safe-kynnyksen, joten ne näyttivät lohkoketjussa valtuutetuilta toimilta.
Safe-moniallekirjoitus (multisig)
Safe on lompakko, joka vaatii useamman omistaja-avaimen allekirjoituksen ennen kuin tapahtuma menee läpi. Esimerkiksi kuuden omistajan lompakossa voi riittää kolme allekirjoitusta. Kun hyökkääjä sai kolme oikeaa avainta, ketju luki tapahtumat täysin laillisina.
Hyökkäys eteni kolmessa vaiheessa 8. ja 9. kesäkuuta välillä. Ensimmäinen aalto tyhjensi Ethereumin ylläpidon hot walletista 6,04 miljoonaa H:ta sen avaimen vuodettua.
Sen jälkeen hyökkääjä siirtyi sillan kimppuun. Kolmella varastetulla Safe-avaimella se siirsi sillan ProxyAdminin omistuksen omaan lompakkoonsa ja päivitti sillan haitalliseksi versioksi. Sitten se veti yhdellä tapahtumalla 141,18 miljoonaa H:ta.
BNB Smart Chainilla kolme muuta avainta antoi hallinnan tokenin ProxyAdminiin. Hyökkääjä loi kolmella erillisellä tapahtumalla 100 miljoonaa H:ta kerrallaan ja nosti tokenin määrän noin 141,1 miljoonasta 441,1 miljoonaan.
Miksi sillan vahdit eivät huomanneet mitään
Vastaus on epämukava. Järjestelmä toimi täsmälleen kuten sen kuuluikin, koska allekirjoitukset olivat aitoja. Vika ei ollut koodissa vaan yksityisavainten hallinnassa.
Humanity Protocol pysäytti talletukset ja nostot vaurioituneilla silloilla. Projekti lupasi miljoonan dollarin USDT-palkkion tiedoista, jotka johtavat varojen palautukseen.
Olemme pystyttäneet reaaliaikaisen seurantatyökalun hyökkääjän osoitteille ja jatkosiirroille, jotta yhteisö voi seurata tilannetta suorana.
– Humanity (@Humanityprot) June 9, 2026
BSC-puolen menetys on silti pysyvä. Raportin mukaan token on menetetty, koska hyökkääjä hallitsee yhä BSC:n ProxyAdminia ja voi luoda lisää tokeneita milloin tahansa.
Hinta antaa karun kuvan. H noteerattiin 10.6. noin 0,163 dollarissa, mikä on 23,7 prosenttia ylempänä vuorokaudessa mutta yhä 74,1 prosenttia alempana hyökkäystä edeltäneeltä viikolta.
Moni perusasia on tätä artikkelia kirjoitettaessa yhä auki. Humanity Protocol kertoo, ettei se vielä tiedä, milloin hyökkääjä pääsi koneelle, miten laite saastui tai kuinka kauan avaimia pidettiin hallussa. Jää nähtäväksi, palautuuko Ethereum-puolelta mitään ja riittääkö palkkio houkuttelemaan tietoja.
