Exploração do token H rastreada até a máquina do desenvolvedor comprometida em meio ao escrutínio do OTC

A equipe por trás da exploração do token H diz que uma máquina de desenvolvedor infectada por malware levou ao comprometimento de sete chaves privadas, permitindo que um invasor assumisse o controle da infraestrutura da ponte e desencadeasse um dos maiores incidentes de token do mês.

De acordo com o relatório post-mortem do projeto, o invasor drenou 141 milhões de tokens H no Ethereum e cunhou outro 300 milhões de tokens H na cadeia BNB depois de assumir o controle das permissões da ponte administrativa.

O relatório enfatizou que não havia vulnerabilidade nos contratos de ponte, nos contratos de token ou na própria arquitetura multisig.

“Não houve nenhum bug na ponte, no token ou no cofre”, escreveu a equipe.

Em vez disso, a exploração foi rastreada até um dispositivo de desenvolvedor comprometido, onde várias chaves privadas de produção teriam sido armazenadas em backup.

O invasor obteve controle da ponte administrativa

O relatório diz que o invasor primeiro comprometeu uma conta de propriedade externa vinculada à administração da ponte antes de assumir a propriedade dos contratos ProxyAdmin do protocolo.

Isso permitiu ao explorador:

• atualizar implementações de ponte,
• drenar liquidez no Ethereum,
• e cunhar grandes quantidades de tokens H na cadeia BNB.

A equipe disse que o lado da cadeia BNB do fornecimento de tokens agora é considerado “irrecuperável” porque o invasor ainda controla as principais permissões de ponte vinculadas à infraestrutura comprometida.

O incidente transformou efetivamente um comprometimento da chave privada em uma aquisição completa da administração da ponte.

Relatório aponta falha na segurança operacional

Ao contrário de muitas explorações de DeFi que envolvem bugs de contratos inteligentes ou falhas lógicas de protocolo, o incidente H parece estar principalmente ligado a falhas de segurança operacional.

O relatório diz que uma única máquina infectada por malware expôs sete chaves de produção vinculadas a sistemas de ponte e administrativos.

Esse compromisso permitiu que o invasor operasse com permissões legítimas, em vez de ignorar diretamente os mecanismos de segurança do protocolo.

A exploração aumenta as preocupações crescentes da indústria de que a infraestrutura descentralizada ainda pode falhar catastroficamente quando o gerenciamento de chaves privadas e a segurança dos terminais permanecem centralizados.

A exploração desencadeou um escrutínio online mais amplo

O incidente também gerou uma discussão mais ampla no Crypto Twitter. O investigador da rede ZachXBT questionou a criação de mercado do projeto e a atividade OTC antes de esclarecer mais tarde que a exploração em si parecia não estar relacionada.

Em uma série de postagens, ZachXBT inicialmente levantou preocupações sobre acordos ativos de criação de mercado e atividades de promoção simbólica em torno do projeto.

No entanto, ele disse mais tarde que análises adicionais sugeriram que o “compromisso de chave privada” e a atividade “estranha de MM/OTC” pareciam “independentes um do outro e não relacionados”.

Os comentários reflectiram um cepticismo mais amplo no mercado, à medida que os comerciantes procuravam determinar se a exploração resultava de actividade privilegiada ou de um comprometimento genuíno da infra-estrutura.

Resumo Final

• A exploração do token H foi rastreada até uma máquina de desenvolvedor infectada por malware que expôs sete chaves privadas usadas para administração de ponte.
• ZachXBT esclareceu posteriormente que preocupações separadas sobre a criação de mercado e a atividade OTC não estavam diretamente ligadas ao compromisso da chave privada.