Команда специализирующегося на кибербезопасности проекта Hacken сообщила об утечке приватного ключа из-за «человеческой ошибки». Инцидент привел к несанкционированному выпуску почти 900 млн токенов HAI и обрушил его цену на 98%.
Согласно заявлению, скомпрометирован приватный ключ учетной записи с ролью минтера в сетях Ethereum и BNB Chain. Злоумышленник выпустил около 900 млн HAI, почти вдвое увеличив предложение, и продал их на децентрализованных биржах. Ущерб составил примерно $250 000.
На фоне инцидента цена актива упала на 97%. По данным CoinGecko, рыночная капитализация HAI снизилась с $12,7 млн до $7,2 млн. На момент написания показатель скорректировался до $8 млн.
Ответственность за случившееся взял на себя сооснователь и CEO Hacken Дмитрий Будорин.
Он признал, что пять лет назад не внедрил инфраструктуру мультисиг-моста, хотя понимал риски.
Команда отозвала разрешения у скомпрометированной учетной записи — кошелек, с которого был развернут контракт, не пострадал. Других утечек не обнаружили.
Hacken опубликует отчет о взломе после завершения расследования. Проект также анонсировал возможный обмен токенов для держателей HAI. Это будет «большое слияние HAI с акционерным капиталом Hacken стоимостью более $100 млн».
Мнение эксперта
Web3-исследователь Владимир Менаскоп проанализировал ситуацию и обратил внимание на несколько «тревожных моментов» в коммуникации и действиях команды проекта.
По его словам, заявление Hacken о том, что «основная инфраструктура всегда была отделена от HAI-инфраструктуры и остается в безопасности», звучит абсурдно.
Менаскоп иронично сравнил это с ситуацией, когда у потерпевшего оторвало голову, но он «чувствует себя прекрасно», потому что его голова «жила отдельно». Это подчеркивает, что компрометация ключевой части проекта, связанной с его токеномикой, «не может считаться незначительной проблемой».
Единственным положительным моментом Менаскоп назвал тот факт, что команда Hacken оперативно отозвала скомпрометированный аккаунт из токен-контракта и восстановила контроль над эмиссией. Однако обозначенная командой причина утечки — «архитектурные изменения» устаревшего моста, — по сути означает признание уязвимости в процессе планового обновления безопасности.
Наибольшее недоумение исследователя вызвала не сама атака, а последующая реакция команды. Вместо того чтобы представить конкретный план по усилению мер безопасности, первым делом Hacken анонсировала ускорение перехода HAI в статус security-токена. Менаскоп назвал такой шаг «фантасмагоричным»: компания, работающая в сфере кибербезопасности и потерявшая приватный ключ из-за базовой ошибки, в ответ предлагает изменить юридический статус токена, а не устранить технические уязвимости.
Он противопоставляет действия Hacken недавнему случаю с Meta Pool, которая смогла отразить атаку на $27 млн долларов, потеряв лишь около $133 000 — во многом благодаря эффективной системе раннего оповещения. По мнению исследователя, именно такая система должна была стать приоритетом для Hacken.
Напомним, 8 мая с горячего кошелька тайваньской BitoPro вывели средства на $11,5 млн, а 2 июня модульный блокчейн Nervos Network подвергся атаке на $3 млн.
Позднее хакеры взломали иранскую биржу Nobitex на $100 млн и раскрыли исходный код платформы.