Das Humanity Protocol hat gerade ihren offiziellen Untersuchungsbericht zu dem verheerenden Angriff am 8. Juni veröffentlicht, der zu Verlusten von über $31 Millionen führte.
Wenn du denkst, dies war ein hochgradig ausgeklügelter Smart-Contract-Exploit... denk nochmal nach.
Null Bugs, reiner OpSec-Fehler
Der Bericht stellt ausdrücklich fest, dass es keinen Bug in der Brücke, dem Token oder den Safe-Smart-Contracts gab. Der Code hat perfekt funktioniert.
Stattdessen ist der Angreifer einfach durch die Tür gegangen und hat legitime private Schlüssel verwendet.
Wie ist das passiert?
Malware-Infektion:
Der Computer eines Entwicklers war mit Malware infiziert, was dem Hacker vollen Root-Zugriff gab.
Der fatale Fehler:
Während des Mainnet-Launches des Projekts im Juni 2025 wurden mehrere kritische Private Keys versehentlich auf demselben Gerät gesichert.
Der Jackpot:
Durch dieses lokale Backup gelang es dem Angreifer, ALLE 7 kritischen Keys von einem
einzelner Kompromisspunkt:
Admin Hot Wallet Key
Ethereum (ETH) sichere Eigentümer-Keys
BSC sichere Eigentümer-Keys
Mit all diesen Keys in der Hand hat der Hacker Transfers, sichere Transaktionen und Proxy-Upgrades problemlos autorisiert.
Die große Erkenntnis
Ein Multi-Sig-Wallet soll die Macht verteilen, damit keine einzelne Person oder ein Gerät die Gelder gefährden kann. Das Speichern mehrerer Eigentümer-Keys auf einer einzigen internetverbundenen Entwicklermaschine macht den Zweck der Dezentralisierung komplett zunichte.
Geschwindigkeit und Bequemlichkeit während eines Mainnet-Launches sollten niemals auf Kosten der grundlegenden OpSec gehen.
Was haltet ihr davon? Ist es Zeit für strengere Sicherheitsüberprüfungen der Entwickler-Workflows, nicht nur des Codes? Lasst es mich unten wissen! 👇