Humanity Protocol lộ lỗ hổng nghiêm trọng khi ví multisig bị đặt trên cùng một laptop

Vụ hack 36 triệu USD và nguyên nhân phía sau

Humanity Protocol đã xác nhận cách kẻ tấn công rút đi hơn 36 triệu USD giá trị H token của dự án. Theo cập nhật gửi cho CoinDesk, sự cố bắt đầu từ việc laptop của một nhân viên bị xâm nhập, kéo theo quyền truy cập vào các khóa dùng để vận hành cầu nối token giữa các blockchain.

Cầu nối này được thiết kế dựa trên cơ chế multisig, tức nhiều khóa riêng biệt phải cùng xác nhận thì mới có thể thực hiện thay đổi. Trên lý thuyết, mô hình này giúp phân tán rủi ro vì không một thiết bị đơn lẻ nào có thể tự ý chuyển tài sản.

Nhưng trong trường hợp của Humanity Protocol, các khóa lại bị lưu trên cùng một máy. Chỉ cần chiếm được chiếc laptop đó, kẻ tấn công đã có đủ điều kiện để vượt qua ngưỡng phê duyệt trên cả hai mạng.

Kẻ tấn công đã thao túng các cầu nối như thế nào

Ở mạng Ethereum, đối tượng tấn công lấy được 3 trong 6 khóa quản trị của cầu nối. Con số này đủ để giành quyền kiểm soát các thành phần liên quan đến triển khai của dự án trên mạng này.

Sau đó, kẻ tấn công chuyển quyền sở hữu sang ví của mình, thay thế mã cầu nối bằng một phiên bản độc hại rồi rút khoảng 141 triệu H chỉ trong một giao dịch.

Trên BNB Chain, cách thức tương tự cũng được triển khai với 3 trong 5 khóa. Lần này, mã độc được cài thêm chức năng mint không giới hạn, cho phép phát hành token tùy ý. Kết quả là khoảng 200 triệu H mới được tạo ra và chuyển thẳng vào ví của kẻ tấn công.

Phần giải thích từ đội ngũ dự án

Trong tin nhắn gửi CoinDesk trên Telegram, nhà sáng lập Terence Kwok cho biết đội ngũ đã thiết lập ví multisig với bốn cá nhân, đúng theo nguyên tắc bảo mật thông thường.

Tuy vậy, Humanity nghi ngờ rằng một số khóa đã bị sao lưu nhầm sang thiết bị đã bị xâm nhập trong quá trình thiết lập. Kwok nói dự án sử dụng đơn vị lưu ký được cấp phép cho phần lớn quỹ kho bạc token, MPC cho kho bạc vận hành, còn với một số hợp đồng nhất định thì các khóa multisig được tạo tập trung rồi mới phân tán sau.

Ông cũng thừa nhận: trong sự cố này, các khóa đã bị sao lưu lên một thiết bị đã bị chiếm quyền.

Biện pháp ứng phó sau sự cố

Sau vụ tấn công, Humanity đã gỡ trang đội ngũ khỏi website. Dự án cho biết họ đã tạm dừng nạp và rút trên các cầu nối bị ảnh hưởng, đồng thời làm việc với sàn giao dịch và cơ quan thực thi pháp luật để tìm cách thu hồi tài sản.

Dự án này từng huy động 20 triệu USD từ Pantera Capital và Jump Crypto vào năm ngoái, với mức định giá 1,1 tỷ USD.

Các dấu hiệu bất thường trước khi bị tấn công

Nhà điều tra onchain ZachXBT cho rằng vụ lộ khóa và một đợt hoạt động market making đáng ngờ trước đó không liên quan trực tiếp với nhau.

Tuy nhiên, ông cũng đặt câu hỏi về diễn biến giao dịch của token trong những tuần trước sự cố, ngay trước một đợt mở khóa lớn đã lên lịch. Trong giai đoạn này, giá H tăng từ 20 cent lên 70 cent chỉ trong hai tuần.

Sau cú sập do cuộc tấn công, token này có lúc rơi xuống quanh 5 cent rồi phục hồi về khoảng 20 cent, theo dữ liệu CoinGecko. Dù vậy, giá vẫn thấp hơn đáng kể so với mức khoảng 67 cent trước khi sự cố xảy ra.