Natywny token H Humanity Protocol spadł we wtorek o ponad 80% po tym, jak atakujący skompromitowali klucze prywatne powiązane z projektem, przejęli kontrolę administracyjną nad mostami i ukradli ponad 36 milionów dolarów z sieci Ethereum i BNB Chain.
W szczegółowym wątku Humanity Protocol podało, że poniedziałkowy atak był skoordynowany w sieciach Ethereum i BSC i został powiązany z naruszeniem, które nastąpiło "po skompromitowaniu laptopa pracownika".
INCIDENT UPDATE:
Last night, June 8, the H token was hit by a coordinated attack across Ethereum and BSC. While we’re still investigating this incident, we want to be transparent with our community about what happened.
As of right now, ~$36M+ has been stolen across both chains…
— Humanity (@Humanityprot) June 9, 2026
Naruszenie bezpieczeństwa Humanity wpisuje się w jeden z najgorszych okresów w historii bezpieczeństwa DeFi, z ponad 885 milionami dolarów utraconych w wyniku ataków DeFi w ciągu pierwszych sześciu miesięcy 2026 roku, według danych DeFiLlama.
Atakujący skompromitowali trzy z sześciu kluczy Gnosis Safe na Ethereum i trzy z pięciu na BSC, przejmując kontrolę ProxyAdmin, wyprowadzając około 141,2 miliona H i wybijając kolejne 200 000 005 H poprzez złośliwe aktualizacje kontraktów, jak podaje projekt.
Token H projektu spadł z najwyższego poziomu 0,73132 USD w poniedziałek do wtorkowego porannego minimum 0,079606 USD, według danych CoinGecko, co stanowi spadek o 89%. H handluje obecnie w okolicach 0,20 USD, spadając o 73% w ciągu dnia, co zniweczyło znaczną część rajdu, który tydzień wcześniej pchnął token blisko jego rekordowego poziomu 0,80 USD.
Założyciel Terence Kwok potwierdził naruszenie i zalecił użytkownikom unikanie interakcji z infrastrukturą projektu.
We've detected a security incident involving the compromise of private keys belonging to a member of the Humanity Foundation. As a precaution, please do not interact with the bridge or any liquidity pools until we confirm it's safe.
We're already working with security experts…
— Terence Kwok 「 🖐️ ✦ 🌏 」 (@terencekwok) June 9, 2026
Humanity Protocol to blockchain warstwy 2 oparty na zero-knowledge, skoncentrowany na zdecentralizowanej tożsamości, założony przez Kwoka i zbudowany wokół systemu "Proof of Humanity", który weryfikuje użytkowników za pomocą skanów dłoni, a nie rozpoznawania tęczówki czy twarzy.
Naruszenie to najnowsza przeszkoda dla Kwoka, którego poprzednie przedsięwzięcie, startup technologiczny Tink Labs z branży hotelarskiej, zebrało około 160 milionów dolarów i stało się jednym z pierwszych jednorożców w Hongkongu, zanim zostało zamknięte w 2019 roku z powodu problemów finansowych.
Zespół Humanity Protocol poinformował, że wstrzymał wpłaty i wypłaty na dotkniętych mostach i współpracuje z giełdami oraz policją w celu odzyskania środków.
"Ludzie w tej społeczności ciężko pracowali na to, co tu posiadają, i czujemy ciężar tej odpowiedzialności" – oświadczył projekt, obiecując analizę pośmiertną (post-mortem).
Meir Dolev, współzałożyciel i CTO platformy bezpieczeństwa blockchain Cyvers, powiedział Decrypt, że incydent był "awarią bezpieczeństwa operacyjnego, a nie błędem w smart kontrakcie", przy czym atakujący uzyskał dostęp administracyjny za pośrednictwem klucza prywatnego powiązanego z członkiem Humanity Foundation.
Po aktualizacji kontraktu, Dolev powiedział, że atakujący wykorzystał funkcję mint do stworzenia 100 milionów nowych tokenów H, o wartości około 12,9 miliona dolarów, a następnie wymienił skradzione i wybite tokeny na ETH i BNB, zanim skonsolidował je w kilku portfelach.
Dolev zauważył, że wyprowadzenie około 30 milionów dolarów "wymagało kontroli na poziomie właściciela/administratora, zdolnej do zwiększenia podaży tokenów poprzez aktualizację kontraktu proxy i bezpośredniego opróżnienia portfeli kontrolowanych przez protokół".
„Główna awaria ma charakter strukturalny: jeden klucz, któremu zaufano zarówno środki, jak i możliwość przepisywania zasad” – powiedział.
Zinterpretował ostrzeżenie Kwoka, aby unikać mostu i pul, jako znak, że dostęp "może nie być w pełni opanowany".
Atakujący nadal posiada duże ilości tokenów H, ale nie może ich w pełni spieniężyć, ponieważ płynność puli jest zbyt niska, aby wchłonąć wymiany, powiedział Dolev, co sprawia, że publiczne ostrzeżenie jest "częściowo próbą utrzymania tej płynności nienaruszonej".
Humanity Protocol ma odblokować 266,5 miliona H, co stanowi około 9,4% wyemitowanej podaży, o wartości około 33 milionów dolarów po cenach sprzed krachu, 25 czerwca, w ramach sześciu alokacji, według danych Tokenomist.
Śledczy on-chain ZachXBT początkowo określił to zdarzenie jako "prawdopodobnie zaaranżowane", sugerując, że stanowiło to wygodne wyjście dla aktywnego animatora rynku.
Później wycofał się z tego oświadczenia, pisząc na Twitterze, że "Po dalszej analizie prania pieniędzy, wydaje się, że podejrzany MM / OTC i skompromitowanie klucza prywatnego są od siebie niezależne i nie są powiązane".
Dolev ostrzegł, że dowody on-chain są jak dotąd mieszane, ponieważ atakujący w każdym razie posiada legalne prawa administratora. Gdzie środki zostaną rozliczone w nadchodzących dniach, i czy skompromitowany klucz był wcześniej nieaktywny, powiedział, "będzie czynnikiem decydującym".
