Humanity Protocol ha identificado una máquina de desarrollador infectada con malware como el origen de la brecha de seguridad que llevó al robo y la acuñación no autorizada de aproximadamente 447 millones de tokens H en Ethereum y BNB Smart Chain.
Según el informe de incidentes de Humanity Protocol, un atacante obtuvo acceso de root a un dispositivo de desarrollador y obtuvo siete claves privadas que se habían respaldado inadvertidamente durante el lanzamiento de la mainnet del proyecto en junio de 2025.
Las claves incluían la clave de la hot wallet de administrador, tres claves de propietario de Ethereum Safe y tres claves de propietario de BSC Safe, lo que le dio al atacante acceso a infraestructura crítica desde una única máquina comprometida.
Los hallazgos añaden nuevos detalles a un ataque que anteriormente hizo que H se desplomara bruscamente antes de una recuperación parcial. El 10 de junio, el token se cotizaba cerca de $0.163, un 23.7% más en 24 horas, aunque se mantuvo un 74.1% por debajo de la semana anterior tras el exploit.
Humanity Protocol afirmó que el incidente no fue causado por una falla en sus contratos de puente, contratos de token o arquitectura Safe. En cambio, el atacante utilizó claves privadas válidas para autorizar transferencias, transacciones Safe y actualizaciones de contratos después de obtener el control de las credenciales.
Según el informe, el ataque se desarrolló en tres acciones separadas entre el 8 y el 9 de junio.
Durante la primera ola, se sustrajeron 6.04 millones de H de una hot wallet de administrador de Ethereum después de que su clave privada fuera comprometida. Desde allí, el atacante se movió contra la infraestructura del puente del protocolo.
Utilizando tres claves robadas de un Safe de Ethereum de seis miembros, el atacante transfirió la propiedad del Bridge ProxyAdmin a una wallet controlada por el atacante. Después de obtener el control administrativo, el atacante actualizó el puente a una implementación maliciosa y sustrajo 141.18 millones de H en una sola transacción.
Humanity Protocol afirmó que la transacción llevaba las firmas necesarias para cumplir con los requisitos de umbral del Safe, permitiendo que la actualización pareciera una acción autorizada en lugar de un exploit de contrato inteligente.
En BNB Smart Chain, un conjunto separado de tres claves Safe comprometidas dio al atacante el control del ProxyAdmin del token. Después de desplegar una implementación maliciosa, el atacante ejecutó tres transacciones de acuñación de 100 millones de H cada una, aumentando el suministro del token de aproximadamente 141.1 millones a 441.1 millones de H.
Mientras que los activos del puente de Ethereum fueron drenados, el informe describió el token de BSC como irrecuperable porque el atacante todavía controla el ProxyAdmin y puede continuar acuñando tokens adicionales. Humanity Protocol dijo que el atacante retiene la propiedad tanto de los contratos de administración del puente como del token afectados en el incidente.
Divulgaciones anteriores del proyecto se centraron en dispositivos de empleados comprometidos y claves Safe robadas. Los últimos hallazgos forenses redujeron la causa a una máquina de desarrollador infectada con malware que almacenaba múltiples copias de seguridad sensibles. Según el informe, los investigadores creen que las siete claves privadas se obtuvieron de ese único dispositivo.
Varias preguntas quedan sin respuesta. Humanity Protocol dijo que aún no ha determinado cuándo el atacante obtuvo acceso por primera vez, cómo se comprometió la máquina o cuánto tiempo se retuvieron las credenciales robadas antes de que se llevara a cabo el ataque.
En respuesta al incidente, el proyecto detuvo los depósitos y retiros a través de los puentes afectados, lanzó un rastreador público de recuperación y ofreció una recompensa de $1 millón en USDT por información que conduzca a la recuperación de activos. Humanity Protocol había dicho previamente que cualquier fondo recuperado se utilizaría para recomprar tokens H.
