Le jeton natif H de Humanity Protocol s'est effondré de plus de 80 % mardi après que des attaquants ont compromis les clés privées liées au projet, pris le contrôle des administrateurs du pont et volé plus de 36 millions de dollars sur Ethereum et la chaîne BNB Chain.
Dans un fil de discussion détaillé, Humanity Protocol a déclaré que l'attaque de lundi était coordonnée sur Ethereum et BSC et qu'elle remontait à une brèche survenue "après la compromission de l'ordinateur portable d'un employé".
INCIDENT UPDATE:
Last night, June 8, the H token was hit by a coordinated attack across Ethereum and BSC. While we’re still investigating this incident, we want to be transparent with our community about what happened.
As of right now, ~$36M+ has been stolen across both chains…
— Humanity (@Humanityprot) June 9, 2026
La brèche de Humanity prolonge l'une des pires périodes jamais enregistrées pour la sécurité de la DeFi, avec plus de 885 millions de dollars perdus à cause de piratages DeFi au cours des six premiers mois de 2026, selon les données de DeFiLlama.
Les attaquants ont compromis trois des six clés Gnosis Safe sur Ethereum et trois des cinq sur BSC, prenant le contrôle de ProxyAdmin, siphonnat environ 141,2 millions de H et frappant 200 000 005 H supplémentaires via des mises à jour de contrats malveillantes, selon le projet.
Le jeton H du projet a chuté d'un sommet de 0,73132 $ lundi à un plus bas de 0,079606 $ mardi matin, selon les données de CoinGecko, soit une baisse de 89 %. H se négocie actuellement près de 0,20 $, en baisse de 73 % sur la journée, effaçant une grande partie d'un rallye qui avait poussé le jeton près de son plus haut historique de 0,80 $ une semaine plus tôt.
Le fondateur Terence Kwok a confirmé la brèche et a demandé aux utilisateurs de se tenir à l'écart de l'infrastructure du projet.
We've detected a security incident involving the compromise of private keys belonging to a member of the Humanity Foundation. As a precaution, please do not interact with the bridge or any liquidity pools until we confirm it's safe.
We're already working with security experts…
— Terence Kwok 「 🖐️ ✦ 🌏 」 (@terencekwok) June 9, 2026
Humanity Protocol est une blockchain de couche 2 à connaissance nulle (zero-knowledge) axée sur l'identité décentralisée, fondée par Kwok et construite autour d'un système de "Preuve d'Humanité" qui vérifie les utilisateurs par des scans palmaires plutôt que par la reconnaissance de l'iris ou du visage.
Cette brèche est le dernier revers pour Kwok, dont la précédente entreprise, la startup de technologie hôtelière Tink Labs, avait levé environ 160 millions de dollars et était devenue l'une des premières licornes de Hong Kong avant de fermer en 2019 au milieu de difficultés financières.
L'équipe de Humanity Protocol a déclaré avoir interrompu les dépôts et les retraits vers les ponts affectés et travaille avec les échanges et la police pour récupérer les fonds.
"Les membres de cette communauté ont travaillé dur pour ce qu'ils détiennent ici, et nous ressentons le poids de cela", a déclaré le projet, promettant une analyse post-mortem.
Meir Dolev, cofondateur et CTO de la plateforme de sécurité blockchain Cyvers, a déclaré à Decrypt que l'incident était "un échec de sécurité opérationnelle, pas un bug de contrat intelligent", l'attaquant ayant obtenu un accès administrateur via une clé privée liée à un membre de la Fondation Humanity.
Après la mise à niveau du contrat, Dolev a déclaré que l'attaquant avait abusé de la fonction de mint pour créer 100 millions de nouveaux H, d'une valeur d'environ 12,9 millions de dollars, puis avait échangé les jetons volés et frappés contre de l'ETH et du BNB avant de les consolider sur plusieurs portefeuilles.
Dolev a noté que le drainage d'environ 30 millions de dollars "nécessitait un contrôle de niveau propriétaire/administrateur capable d'augmenter l'offre de jetons via la mise à niveau du contrat proxy et de vider directement les portefeuilles contrôlés par le protocole".
« L'échec principal est structurel : une seule clé faisait confiance à la fois aux fonds et au pouvoir de réécrire les règles », a-t-il déclaré.
Il a interprété l'avertissement de Kwok d'éviter le pont et les pools comme un signe que l'accès "pourrait ne pas être entièrement maîtrisé".
L'attaquant détient toujours de grandes quantités de H mais ne peut pas entièrement les monétiser car la liquidité des pools est trop faible pour absorber les échanges, a déclaré Dolev, faisant de l'alerte publique "en partie un effort pour empêcher que cette liquidité ne soit touchée".
Humanity Protocol doit débloquer 266,5 millions de H, soit environ 9,4 % de l'offre libérée, d'une valeur d'environ 33 millions de dollars aux prix d'avant le crash, le 25 juin, répartis sur six allocations, selon les données de Tokenomist.
Le détective on-chain ZachXBT a initialement signalé l'événement comme "possiblement mis en scène", suggérant qu'il offrait une sortie pratique pour le teneur de marché actif.
Il a ensuite rétracté sa déclaration, tweetant que, "Après une analyse plus approfondie du blanchiment, il semble que le MM / OTC louche et la compromission de la clé privée soient indépendants l'un de l'autre et non liés".
Dolev a averti que les preuves on-chain restent jusqu'à présent mitigées, puisque l'attaquant détient de toute façon des droits d'administrateur légitimes. L'endroit où les fonds se stabiliseront dans les prochains jours, et si la clé compromise était inactive auparavant, "sera le facteur décisif", a-t-il déclaré.
