Команда специализирующегося на кибербезопасности проекта Hacken сообщила об утечке приватного ключа из-за «человеческой ошибки». Инцидент привел к несанкционированному выпуску почти 900 млн токенов HAI и обрушил его цену на 98%.
A private key of an account with a minter role (ETH & BNB) was compromised, leading to unauthorized HAI minting and a dump on BSC DEXs.
One big misconception: the deployer wallet was NOT compromised. That’s exactly what let us revoke the compromised minters from the $HAI…
Согласно заявлению, скомпрометирован приватный ключ учетной записи с ролью минтера в сетях Ethereum и BNB Chain. Злоумышленник выпустил около 900 млн HAI, почти вдвое увеличив предложение, и продал их на децентрализованных биржах. Ущерб составил примерно $250 000.
На фоне инцидента цена актива упала на 97%. По данным CoinGecko, рыночная капитализация HAI снизилась с $12,7 млн до $7,2 млн. На момент написания показатель скорректировался до $8 млн.
Ответственность за случившееся взял на себя сооснователь и CEO Hacken Дмитрий Будорин.
1. Responsibility is on me. I didn't implement multisig bridge ifra 5 years ago. I understood the risk, but delayed bridge restructuring due to not unimportant reasons
2. This incident has nothing to do with the main business. Our experts are the best in the field
3. The most…
Он признал, что пять лет назад не внедрил инфраструктуру мультисиг-моста, хотя понимал риски.
Команда отозвала разрешения у скомпрометированной учетной записи — кошелек, с которого был развернут контракт, не пострадал. Других утечек не обнаружили.
Hacken опубликует отчет о взломе после завершения расследования. Проект также анонсировал возможный обмен токенов для держателей HAI. Это будет «большое слияние HAI с акционерным капиталом Hacken стоимостью более $100 млн».
Мнение эксперта
Web3-исследователь Владимир Менаскоп проанализировал ситуацию и обратил внимание на несколько «тревожных моментов» в коммуникации и действиях команды проекта.
По его словам, заявление Hacken о том, что «основная инфраструктура всегда была отделена от HAI-инфраструктуры и остается в безопасности», звучит абсурдно.
Менаскоп иронично сравнил это с ситуацией, когда у потерпевшего оторвало голову, но он «чувствует себя прекрасно», потому что его голова «жила отдельно». Это подчеркивает, что компрометация ключевой части проекта, связанной с его токеномикой, «не может считаться незначительной проблемой».
Единственным положительным моментом Менаскоп назвал тот факт, что команда Hacken оперативно отозвала скомпрометированный аккаунт из токен-контракта и восстановила контроль над эмиссией. Однако обозначенная командой причина утечки — «архитектурные изменения» устаревшего моста, — по сути означает признание уязвимости в процессе планового обновления безопасности.
Наибольшее недоумение исследователя вызвала не сама атака, а последующая реакция команды. Вместо того чтобы представить конкретный план по усилению мер безопасности, первым делом Hacken анонсировала ускорение перехода HAI в статус security-токена. Менаскоп назвал такой шаг «фантасмагоричным»: компания, работающая в сфере кибербезопасности и потерявшая приватный ключ из-за базовой ошибки, в ответ предлагает изменить юридический статус токена, а не устранить технические уязвимости.
Он противопоставляет действия Hacken недавнему случаю с Meta Pool, которая смогла отразить атаку на $27 млн долларов, потеряв лишь около $133 000 — во многом благодаря эффективной системе раннего оповещения. По мнению исследователя, именно такая система должна была стать приоритетом для Hacken.
Напомним, 8 мая с горячего кошелька тайваньской BitoPro вывели средства на $11,5 млн, а 2 июня модульный блокчейн Nervos Network подвергся атаке на $3 млн.
Позднее хакеры взломали иранскую биржу Nobitex на $100 млн и раскрыли исходный код платформы.
Нашли ошибку в тексте? Выделите ее и нажмите CTRL+ENTER
Рассылки ForkLog: держите руку на пульсе биткоин-индустрии!