Расследование взлома криптовалютного проекта Humanity Protocol, в результате которого были похищены активы на сумму около $36 млн, выявило признаки причастности северокорейских хакеров. Атака началась с фишингового письма, отправленного одному из руководителей проекта.
Специалисты компании Quantstamp пришли к выводу, что схема атаки на Humanity Protocol соответствует методам, которые ранее использовались группировками, связанными с Северная Корея.
По данным расследования, злоумышленники направили одному из директоров проекта поддельное письмо от имени южнокорейской криптобиржи Bithumb, с которой он ранее вел деловую переписку. Во вложении находился вредоносный файл, после открытия которого на устройство было установлено программное обеспечение для удаленного доступа.
Получив контроль над компьютером топ-менеджера, хакеры смогли похитить данные криптокошельков и приватные ключи, связанные с административными учетными записями проекта. Затем они внесли изменения в смарт-контракты в сети Ethereum и получили контроль над контрактом ProxyAdmin в сети BNB Smart Chain.
В результате злоумышленники выпустили дополнительные необеспеченные токены H и продали их вместе с похищенными активами через децентрализованные биржи, включая Uniswap и PancakeSwap. Вся операция, по данным аналитиков, заняла около восьми часов.
Атака привела к резкому падению ликвидности и стоимости токена H. Уже на следующий день после взлома его цена снизилась до $0,08. Однако впоследствии актив частично восстановился и к 14 июня торговался на уровне около $0,36, прибавив более 70% за сутки.
В Humanity Protocol сообщили, что злоумышленники по-прежнему сохраняют административный контроль над скомпрометированным контрактом в сети BNB Smart Chain. Команда проекта намерена отказаться от использования затронутой версии сети и рекомендует пользователям временно отозвать разрешения на взаимодействие со смарт-контрактами до завершения проверки безопасности.
На фоне инцидента произошел еще один взлом в криптоиндустрии. Неизвестные похитили около $1,34 млн у платформы Raydium, воспользовавшись уязвимостью в устаревших смарт-контрактах, сообщили аналитики компании GoPlus Security.

