Humanity Protocol perde US$ 36 milhões após vazamento de chaves privadas; token é 80%

O token nativo H do Humanity Protocol desabou mais de 80% nesta terça-feira (9), depois que invasores comprometeram chaves privadas ligadas ao projeto, tomaram os controles administrativos da ponte e roubaram mais de US$ 36 milhões em Ethereum e BNB Chain.

Em uma tópico detalhadoo Humanity Protocol afirmou que o ataque de segunda-feira foi coordenado entre o Ethereum e o BSC e rastreado até uma violação que ocorreu “depois que o laptop de um funcionário foi comprometido”.

A violação da Humanidade prolonga um dos períodos registrados para a segurança DeFi, com mais de US$ 885 milhões perdidos em ataques DeFi nos primeiros seis meses de 2026, de acordo com dados do DeFiLlama.

Os invasores comprometeram três das seis chaves Gnosis Safe no Ethereum e três das cinco na BSC, assumindo o controle do ProxyAdmin, drenando cerca de 141,2 milhões de H e cunhando outros 200.000.005 H por meio de atualizações maliciosas de contratos, de acordo com o projeto.

O token H do projeto despencou de máximas de US$ 0,73132 na segunda-feira para um mínimo de US$ 0,079606 na manhã de terça-feira, de acordo com dados do CoinGecko, uma queda de 89%. OH está atualmente sendo negociado perto de US$ 0,20, em baixa de 73% no dia, apagando grande parte de um rali que havia empurrado o token para perto de seu recorde histórico de US$ 0,80 apenas uma semana antes.

O fundador Terence Kwok confirmado A violação e pediu aos usuários que mantivessem deficiências da infraestrutura do projeto.

O Humanity Protocol é um blockchain de segunda camada de conhecimento zero focado em identidade descentralizada, fundado por Kwok e construído em torno de um sistema de “Prova de Humanidade” que verifica usuários por meio de escaneamento de palmas, em vez de reconhecimento de íris ou facial.

A violação é a mais recente receita da Kwok, cuja empreitada anterior, a startup de tecnologia hoteleira Tink Labs, arrecadou cerca de US$ 160 milhões e se tornou um dos primeiros unicórnios de Hong Kong antes de encerrar as atividades em 2019, em meio a problemas financeiros.

A equipe do Protocolo Humanitário disse que interrompeu os depósitos e saques para as pontes afetadas e está trabalhando com trocas e a polícia para recuperar os fundos.

“As pessoas nesta comunidade trabalharam duro pelo que detêm aqui, e sentem o peso disso”, disse o projeto, prometendo uma análise post-mortem.

Uma “falha de segurança operacional”

Meir Dolev, cofundador e CTO da plataforma de segurança blockchain Cyvers, disse ao Decrypt que o incidente foi “uma falha de segurança operacional, não um bug de contrato inteligente”, com o invasor ganhando acesso de administrador por meio de uma chave privada ligada a um membro da Humanity Foundation.

Após a atualização do contrato, Dolev disse que o invasor abusou da função de cunhagem para criar 100 milhões de novos H, avaliados em cerca de US$ 12,9 milhões, e depois trocou os tokens roubados e cunhados por ETH e BNB antes de consolidar em várias carteiras.

Dolev observou que drenar aproximadamente US$ 30 milhões “exigiu controle de nível de proprietário/administrador capaz de aumentar o fornecimento de tokens por meio da atualização do contrato proxy e drenar carteiras controladas pelo protocolo diretamente”.

“A falha central é estrutural: uma única chave com acesso tanto aos fundos quanto ao poder de reescrever as regras”, disse ele.

Ele emitiu o aviso de Kwok para evitar a ponte e as piscinas como um sinal de que o acesso “pode não estar totalmente contido”.

O invasor ainda possui grandes quantidades de H, mas não consegue sacar tudo porque a liquidez do pool é muito baixa para absorver as trocas, disse Dolev, tornando o alerta público “parte de um esforço para evitar que essa liquidez seja tocada”.

O Humanity Protocol deve desbloquear 266,5 milhões de H, cerca de 9,4% do fornecido liberado, avaliados em aproximadamente US$ 33 milhões a preços pré-queda, em 25 de junho, em seis alocações, de acordo com dados da Tokenomist.

O investigador on-chain ZachXBT inicialmente sinalizou o evento como “possivelmente cercado”, indicando que oferece uma saída conveniente para o formador de mercado ativo.

Mais tarde, ele retirou a declaração, tuitando que: “Após uma análise mais aprofundada da lavagem, parece que o MM / OTC suspeito e o comprometimento de chaves privadas são independentes um do outro e não estão relacionados.”

Dolev alertou que as evidências on-chain até agora permaneceram erradas, já que o invasor detém direitos de administrador legítimos de qualquer forma. Para onde os fundos serão destinados nos próximos dias, e se a chave comprometida estava inativa antes, “será o fator decisivo”, disse ele.

* Traduzido e editado com autorização do Decrypt.

Procurando uma alternativa para aumentar seus ganhos? A Renda Fixa Digital do MB é a solução: até 18% de ganho ao ano, risco controlado e a segurança que seu dinheiro merece. Conheça agora!