事件概述:精心策划的跨链攻击
近日,知名去中心化项目Humility遭遇了一场精心策划的协同攻击,导致其原生代币H在以太坊和币安智能链(BSC)上同时遭受重创。根据项目方发布的官方说明,此次事件发生在北京时间6月8日晚间,攻击者通过一系列复杂操作,最终盗取并抛售了价值超过3600万美元的资产。
攻击手法深度剖析
初步技术调查揭示,此次安全漏洞的根源竟是一名项目员工的个人电脑遭到入侵。这一突破口直接导致了控制核心跨链桥基础设施——Hyperlane Bridge的ProxyAdmin多重签名钱包的密钥泄露。
在以太坊链上,攻击者成功获取了Gnosis Safe钱包6个持有者中的3个私钥。利用这些密钥,他们迅速将ProxyAdmin的所有权转移至自己控制的地址,并随后将桥接合约升级为一个包含恶意功能的版本。通过一次交易,攻击者便转移走了约1.412亿枚H代币。
与此同时,在BSC链上,攻击者以几乎相同的手法,控制了Safe钱包5个持有者中的3个私钥,从而接管了该链上的ProxyAdmin。更为严重的是,攻击者在此部署了一个具备无限增发功能的恶意合约,分两次向自己的钱包地址增发了总计2亿枚H代币,随后在市场上抛售,导致代币价格剧烈波动。
应急响应与后续措施
事件发生后,Humility团队迅速启动了应急预案:
- 立即暂停服务: 已全面暂停受影响跨链桥的所有存取款功能,以防止损失进一步扩大。
- 多方协作追损: 正与各大中心化交易所和安全团队紧密合作,追踪资金流向并尝试冻结相关资产。
- 司法介入调查: 项目方已正式向警方报案,并全力配合执法部门的调查工作,致力于追回被盗资金。
- 安全架构审查: 承诺将对整个项目的安全架构和内部管理流程进行彻底审查与升级。
此次事件再次为整个Web3行业敲响了安全警钟,凸显了在去中心化治理中,私钥管理和内部操作安全的重要性丝毫不亚于智能合约代码本身的安全。