Humanity Protocol publiceert een onderzoeksrapport over de aanval van 8 juni, waarbij de aanvaller zeven private keys wist te bemachtigen via één enkel gecompromitteerd apparaat. De schade loopt op tot meer dan $31 million. Het gaat niet om een kwetsbaarheid in de smart contracts, maar om een menselijke fout bij het opslaan van sleutels.
Malware op ontwikkelaarsmachine geeft toegang tot alle sleutels
Uit het officiële incidentrapport van Humanity Protocol blijkt dat de machine van een collega besmet raakt met malware, waardoor de aanvaller volledige root access krijgt tot het apparaat. Tijdens de mainnetlancering van het project, ongeveer een jaar geleden in juni 2025, worden meerdere private keys per ongeluk als backup opgeslagen op dit apparaat.
Het gaat om zeven sleutels in totaal: de admin hot wallet private key, drie ETH Safe owner keys en drie BSC Safe owner keys. Doordat al deze sleutels op één plek staan, is dat voldoende om de volledige controle te verkrijgen. De aanvaller hoeft daardoor maar één kwetsbaar punt te vinden. Wanneer de aanvaller precies toegang krijgt tot het apparaat en hoe lang hij de sleutels in zijn bezit heeft voor de aanval op 8 juni, blijft onduidelijk. Het rapport geeft aan dat de aanval mogelijk lang van tevoren is gepland.
Geen bug in de code, wel een operationeel beveiligingsprobleem
Humanity Protocol stelt nadrukkelijk dat er geen fout zit in de smart contracts, de bridge, de token of de Safe. Alle acties die de aanvaller uitvoert, waaronder transfers, Safe-transacties en proxy-upgrades, worden geautoriseerd met legitieme private keys. De aanvaller handelt technisch gezien dus volledig als een rechtmatige gebruiker.
Het protocol concludeert dat de aanval volledig mogelijk wordt door gebrekkige opslag van productiesleutels. Die worden bewaard op een algemeen ontwikkelapparaat in plaats van op geïsoleerde hardware wallets. Het rapport omschrijft dit als een menselijk en operationeel beveiligingsfalen. De totale schade bedraagt meer dan $31 million, waarmee dit een van de grotere incidenten is in het recente Ethereum ecosysteem.
Blijf altijd op de hoogte van het laatste crypto nieuws via Google Nieuws.
Ontvang 10 euro gratis Ethereum
Jouw cryptoavontuur starten met €10 gratis Ether? In samenwerking met Bitvavo mogen wij vandaag 10 euro aan gratis Ethereum of een andere crypto weggeven aan onze lezers (na een storting van minimaal 10 euro).
Maak via onderstaande knop een account aan en je ontvangt een welkomstbonus van 10 euro. Ook handel je de eerste €10.000 binnen de eerste 7 dagen na je registratie helemaal gratis (t.w.v. €25). Alle voorwaarden vind je op de pagina onder de knop.