Humanity Protocol telah mengungkapkan bahwa laptop karyawan yang disusupi memungkinkan penyerang untuk mendapatkan kendali atas sistem administrasi bridge di seluruh Ethereum dan BNB Smart Chain, yang mengakibatkan pencurian dan pencetakan lebih dari $36 juta token H.
Menurut pernyataan yang dibagikan kepada crypto.news oleh pendiri dan CEO Humanity, Terence Kwok, insiden pada 8 Juni tersebut merupakan serangan terkoordinasi yang menargetkan infrastruktur bridge proyek di beberapa jaringan.
“Tadi malam, 8 Juni 2026, Humanity diserang oleh serangan terkoordinasi di seluruh Ethereum dan BSC,” kata Kwok.
Memberikan penjelasan rinci pertama tentang bagaimana pelanggaran itu terjadi, Kwok mengatakan penyerang mendapatkan akses setelah menyusupi perangkat karyawan.
“Ini adalah akibat dari pelanggaran yang terjadi setelah laptop seorang karyawan disusupi.”
Pendiri tersebut mengatakan tiga dari enam kunci pemilik Gnosis Safe yang mengontrol ProxyAdmin bridge Hyperlane di Ethereum disusupi. Humanity Protocol mengatakan penyerang mentransfer kepemilikan kontrak ProxyAdmin ke dompet di bawah kendali mereka, meningkatkan kontrak bridge menjadi implementasi berbahaya, dan memindahkan sekitar 141,2 juta token H dalam satu transaksi.
Kompromi serupa terjadi pada BNB Smart Chain. Menurut Humanity Protocol, tiga dari lima kunci pemilik Safe disusupi, memungkinkan penyerang untuk menguasai kendali kontrak ProxyAdmin bridge, menyebarkan implementasi berbahaya dengan fungsi minting tidak terbatas, dan mencetak 200.000.005 token H dalam dua transaksi terpisah.
Proyek ini saat ini memperkirakan bahwa lebih dari $36 juta telah dicuri dan dijual di kedua rantai.
Detail baru dari Humanity Protocol memperluas pengungkapan sebelumnya dari tim, yang awalnya hanya mengkonfirmasi bahwa kunci privat yang terkait dengan anggota Humanity Foundation telah disusupi.
Sebelumnya pada 9 Juni, analis on-chain Specter melaporkan bahwa lebih dari 17 dompet yang terkait dengan Humanity Protocol telah dikuras. Estimasi awal menempatkan kerugian mendekati $19 juta sebelum analisis blockchain selanjutnya meningkatkan angka tersebut menjadi lebih dari $30 juta.
Data blockchain yang dikutip oleh Specter menunjukkan bahwa penyerang menjual sebagian dari token H yang dicuri dan mengubah sebagian besar hasilnya menjadi Ethereum. Menurut pembaruan Telegram analis tersebut, sekitar $23,7 juta telah ditukar menjadi ETH, sementara sekitar $7,9 juta tetap dalam token H.
Pemantauan terpisah dari perusahaan keamanan blockchain Blockaid sebelumnya menunjukkan bahwa penyerang memperoleh hak administrator proxy pada BNB Smart Chain dan mencetak token H tambahan.
Laporan insiden terbaru Humanity Protocol mengkonfirmasi bahwa kendali administratif infrastruktur bridge telah direbut dan digunakan untuk membuat token baru di jaringan.
Pertanyaan tentang eksploitasi tersebut muncul ketika H mengalami aktivitas perdagangan yang tidak biasa menjelang pembukaan kunci token terjadwal akhir bulan ini.
Seperti yang dilaporkan oleh crypto.news sebelumnya, penyelidik blockchain ZachXBT awalnya mempertimbangkan apakah kompromi kunci yang dilaporkan dapat digunakan untuk menyembunyikan penjualan orang dalam. Namun, setelah meninjau pergerakan dan pencucian dana yang dicuri, ia menyimpulkan bahwa bukti yang tersedia mendukung penjelasan Humanity Protocol bahwa eksploitasi tersebut berasal dari kompromi kunci privat asli daripada skema pencurian orang dalam.
Humanity Protocol dijadwalkan untuk membuka kunci token tambahan pada 25 Juni di bawah rencana vesting investor yang direvisi. Pelaporan sebelumnya oleh crypto.news menunjukkan bahwa beberapa investor awal memilih pembukaan kunci segera dengan diskon daripada jadwal vesting yang lebih lama.
Upaya respons masih terus berlangsung saat Humanity Protocol berupaya mengatasi dampak dari serangan dan menyelidiki pelanggaran tersebut.
“Kami sekarang telah menghentikan semua deposit dan penarikan ke bridge yang terkena dampak dan bekerja sama dengan semua pihak terkait, termasuk bursa, untuk meminimalkan dampak,” kata Kwok.
Proyek ini mengatakan sedang berkoordinasi dengan bursa dan mitra keamanan sambil melakukan investigasi internal terhadap insiden tersebut.
“Kami juga bekerja sama erat dengan polisi untuk menyelidiki insiden ini dan memulihkan sebagian dana yang dicuri,” tambah Kwok.
Reaksi pasar terhadap eksploitasi tersebut sangat parah. Data perdagangan yang dikutip dalam laporan sebelumnya menunjukkan H jatuh dari harga tertinggi sepanjang masa pada 2 Juni di dekat $0,844 menjadi sekitar $0,123 setelah serangan, menghapus sebagian besar reli token sebelumnya saat volume perdagangan melonjak di atas $605 juta.
Meskipun mengalami kerugian, Kwok mengatakan tim tetap fokus untuk memulihkan aset, mengidentifikasi mereka yang bertanggung jawab, dan memperkuat pertahanan proyek.
“Kami berkomitmen untuk menyelesaikan ini dengan memulihkan apa yang kami bisa, meminta pertanggungjawaban mereka yang bertanggung jawab, dan membangun kembali keamanan kami dari awal.”
Humanity Protocol mengatakan berencana untuk merilis laporan post-mortem lengkap setelah investigasinya berkembang lebih lanjut.
