İnsanlığın 36 milyon dolarlık istismarı, ‘multisig’ cüzdanı barındıran ele geçirilmiş dizüstü bilgisayarla bağlantılı

İnsanlığın 36 milyon dolarlık istismarı, ‘multisig’ cüzdanı barındıran ele geçirilmiş dizüstü bilgisayarla bağlantılı

Özet: Kripto piyasasında önemli gelişmeler yaşanıyor.

Humanity Protokol, saldırganların H tokeninin 36 milyon dolardan fazlasını nasıl çalabildiklerini ve bunun nedeninin, anahtarların güvenliğinde ciddi bir hata olduğunu açıkladı.

Merkezi olmayan kimlik projesi, CoinDesk ile paylaşılan bir olay güncellemesinde, ihlalin bir çalışanın dizüstü bilgisayarının ele geçirilmesiyle başladığını söyledi.

Makine, projenin token köprülerini, H’yi (ve diğer tokenleri) blok zincirler arasında hareket ettiren araçları kontrol eden birkaç anahtarı barındırıyordu.

Bu köprüler, herhangi bir değişikliği onaylamak için bir dizi ayrı anahtar gerektiren çoklu imza cüzdanlarından geçiyordu.

Çoklu imzalı bir cüzdanın, anahtarları farklı kişilere ve cihazlara dağıtması ve böylece hiçbir makinenin fonları taşıyamaması gerekiyor.

Humanity, bu durumda, tüm anahtarların tek bir cihazda saklandığını, bunun da bir uzlaşmanın, saldırganın her iki zincirdeki onay eşiğini geçmesine izin verdiği anlamına geldiğini söyledi.

Saldırgan, köprünün Ethereum’daki yönetici hesabını kontrol eden altı anahtardan üçünü elde etti; bu, projenin ağdaki dağıtımıyla bağlantılı kontrolleri ele geçirmeye yetti.

Saldırgan daha sonra mülkiyeti kendi cüzdanına aktardı, köprünün kodunu kötü amaçlı bir sürümle değiştirdi ve tek bir işlemde yaklaşık 141 milyon H’yi tüketti.

Humanity’nin kurucusu Terence Kwok, CoinDesk’e Telegram mesajında, ekibin dört kişi için (olması gerektiği gibi) çoklu imzalı bir cüzdan kurduğunu söyledi.

Kwok, insanlığın “bazı anahtarların kurulum sırasında kazara güvenliği ihlal edilmiş bir cihaza yedeklendiğinden” şüphelendiğini söyledi.

Analiz: Piyasa hareketliliği devam ediyor.