El token nativo H de Humanity Protocol se desplomó más del 80% el martes después de que atacantes comprometieran claves privadas vinculadas al proyecto, se hicieran con los controles de administración del puente y robaran más de $36 millones en Ethereum y BNB Chain.
En un hilo detallado, Humanity Protocol dijo que el ataque del lunes fue coordinado en Ethereum y BSC y se rastreó hasta una brecha que ocurrió "después de que el portátil de un empleado fuera comprometido".
ACTUALIZACIÓN DEL INCIDENTE:
Anoche, 8 de junio, el token H fue golpeado por un ataque coordinado en Ethereum y BSC. Aunque todavía estamos investigando este incidente, queremos ser transparentes con nuestra comunidad sobre lo que sucedió.
A partir de ahora, se han robado más de ~$36 millones en ambas cadenas…
— Humanity (@Humanityprot) June 9, 2026
La brecha de Humanity Protocol extiende uno de los peores periodos registrados para la seguridad DeFi, con más de $885 millones perdidos en hacks de DeFi en los primeros seis meses de 2026, según datos de DeFiLlama.
Los atacantes comprometieron tres de las seis claves de Gnosis Safe en Ethereum y tres de las cinco en BSC, tomando el control de ProxyAdmin, drenando aproximadamente 141,2 millones de H y acuñando otros 200.000.005 H a través de actualizaciones maliciosas de contratos, según el proyecto.
El token H del proyecto se desplomó desde máximos de $0,73132 el lunes hasta un mínimo de $0,079606 el martes por la mañana, según datos de CoinGecko, una caída del 89%. H se cotiza actualmente cerca de $0,20, un 73% menos en el día, borrando gran parte de un repunte que había llevado al token cerca de su máximo histórico de $0,80 solo una semana antes.
El fundador Terence Kwok confirmó la brecha y pidió a los usuarios que se mantuvieran alejados de la infraestructura del proyecto.
Hemos detectado un incidente de seguridad que involucra el compromiso de claves privadas pertenecientes a un miembro de la Fundación Humanity. Como precaución, por favor, no interactúe con el puente ni con ninguna piscina de liquidez hasta que confirmemos que es seguro.
Ya estamos trabajando con expertos en seguridad…
— Terence Kwok 「 🖐️ ✦ 🌏 」 (@terencekwok) June 9, 2026
Humanity Protocol es una blockchain de Capa 2 de conocimiento cero centrada en la identidad descentralizada, fundada por Kwok y construida alrededor de un sistema de "Prueba de Humanidad" que verifica a los usuarios mediante escaneos de palma en lugar de reconocimiento de iris o facial.
La brecha es el último revés para Kwok, cuya empresa anterior, la startup de tecnología hotelera Tink Labs, recaudó alrededor de $160 millones y se convirtió en uno de los primeros unicornios de Hong Kong antes de cerrar en 2019 en medio de problemas financieros.
El equipo de Humanity Protocol dijo que ha detenido los depósitos y retiros a los puentes afectados y está trabajando con intercambios y la policía para recuperar los fondos.
"Las personas de esta comunidad trabajaron duro por lo que tienen aquí, y sentimos el peso de ello", dijo el proyecto, prometiendo un análisis post-mortem.
Meir Dolev, cofundador y CTO de la plataforma de seguridad blockchain Cyvers, dijo a Decrypt que el incidente fue "un fallo de seguridad operacional, no un error de contrato inteligente", ya que el atacante obtuvo acceso de administrador a través de una clave privada vinculada a un miembro de la Fundación Humanity.
Después de la actualización del contrato, Dolev dijo que el atacante abusó de la función de acuñación para crear 100 millones de H nuevos, valorados en unos $12,9 millones, y luego intercambió los tokens robados y acuñados por ETH y BNB antes de consolidarlos en varias carteras.
Dolev señaló que drenar aproximadamente $30 millones "requería un control de nivel de propietario/administrador capaz de aumentar el suministro de tokens a través de la actualización del contrato proxy y drenar las carteras controladas por el protocolo directamente".
“El fallo principal es estructural: una clave confiada tanto con los fondos como con el poder de reescribir las reglas”, dijo.
Interpretó la advertencia de Kwok de evitar el puente y las pools como una señal de que el acceso "puede no estar completamente contenido".
El atacante aún posee grandes cantidades de H, pero no puede liquidar completamente porque la liquidez de la pool es demasiado escasa para absorber los intercambios, dijo Dolev, lo que hace que la alerta pública sea "en parte un esfuerzo para evitar que esa liquidez sea tocada".
Humanity Protocol tiene previsto desbloquear 266,5 millones de H, aproximadamente el 9,4% del suministro liberado, con un valor aproximado de $33 millones a precios anteriores al crash, el 25 de junio, a través de seis asignaciones, según datos de Tokenomist.
El investigador on-chain ZachXBT inicialmente marcó el evento como "posiblemente orquestado", sugiriendo que ofrecía una salida conveniente para el creador de mercado activo.
Más tarde retiró la declaración, tuiteando que, "Después de un análisis adicional del lavado, parece que el dudoso MM / OTC y el compromiso de la clave privada son independientes entre sí y no están relacionados".
Dolev advirtió que la evidencia on-chain hasta ahora sigue siendo mixta, ya que el atacante posee derechos de administrador legítimos de cualquier manera. Dónde se asienten los fondos en los próximos días, y si la clave comprometida estaba inactiva de antemano, dijo, "será el factor decisivo".
