Hackeo a Humanity Protocol: más de $36M robados tras el compromiso de la clave de administrador, $H se desploma

Humanity Protocol reveló un incidente de seguridad el 9 de junio después de que el proyecto informara que el portátil de un empleado había sido comprometido, lo que resultó en el robo de múltiples claves administrativas que controlan su infraestructura de puente entre cadenas de Ethereum y BNB Chain. El proyecto instó a los usuarios a no interactuar con su puente o pools de liquidez mientras los investigadores evalúan el alcance de la brecha.

El anuncio llegó después de que el investigador de blockchain Specter informara que las billeteras conectadas a Humanity Protocol estaban siendo vaciadas y que las pérdidas estimadas habían superado los $30 millones. El incidente también generó críticas del investigador on-chain ZachXBT, quien cuestionó las actividades de market-making del proyecto antes de afirmar posteriormente que las evidencias apuntaban a un compromiso genuino de clave privada.

Humanity Protocol afirma que las claves comprometidas permitieron la toma del puente

12 horas después de que el incidente se hiciera público, Humanity Protocol publicó detalles adicionales sobre el ataque y estimó las pérdidas totales en más de $36 millones entre Ethereum y BNB Chain.

Según el proyecto, la brecha comenzó después de que el portátil de un empleado fuera comprometido y el atacante obtuviera tres de las seis claves de propietario de Gnosis Safe que controlan el ProxyAdmin del puente Hyperlane en Ethereum. Usando esas claves, el atacante transfirió la propiedad del ProxyAdmin a una billetera bajo su control, actualizó el contrato del puente a una implementación maliciosa y transfirió aproximadamente 141,2 millones de tokens $H en una sola transacción.

El proyecto también afirmó que tres de las cinco claves de propietario de Safe que controlan el puente de BNB Chain fueron comprometidas. Según Humanity Protocol, el atacante utilizó el mismo método para tomar el control del contrato de administración del puente antes de desplegar una implementación maliciosa que contenía una función de minteo ilimitado.

Humanity Protocol declaró que el atacante posteriormente minteó 200.000.005 tokens $H en dos transacciones y transfirió los tokens a su propia billetera.

El proyecto indicó que los depósitos y retiros en los puentes afectados han sido suspendidos mientras continúan las investigaciones. Humanity Protocol añadió que está trabajando con exchanges, socios de seguridad y autoridades policiales en un esfuerzo por recuperar los fondos robados y limitar daños mayores.

Specter fue el primero en reportar el vaciado de billeteras

En una publicación inicial publicada varias horas antes de que Humanity Protocol reconociera el incidente, Specter afirmó que más de 17 billeteras que contenían tokens $H habían sido vaciadas, con pérdidas estimadas que superaban los $5 millones. Publicó varias direcciones que identificó como billeteras de robo y sugirió que las cuentas afectadas podrían haber compartido una exposición común conectada a Humanity Protocol, aunque el vector de ataque exacto era desconocido en ese momento.

Durante las horas siguientes, Specter continuó publicando actualizaciones a medida que se reportaban más billeteras comprometidas. Más tarde afirmó que las pérdidas totales superaban los $20 millones, con aproximadamente $9 millones en tokens $H robados intercambiados por ETH, mientras que otros $9,9 millones permanecían sin vender.

La continua presión vendedora provocó una fuerte caída en el precio del token nativo de Humanity Protocol. El token había caído aproximadamente un 87% mientras el atacante continuaba liquidando los activos robados.

El investigador informó posteriormente que el número de billeteras afectadas había crecido desde las 17 direcciones iniciales hasta cientos. Luego estimó que las pérdidas totales habían superado los $30 millones.

En una actualización posterior, Specter informó que 100 millones de tokens $H habían sido minteados y estaban siendo vendidos por BNB. Varias horas después, Humanity Protocol reveló que el atacante presuntamente había minteado 200.000.005 tokens $H en BNB Chain tras obtener el control de los contratos administrativos del puente.

A medida que la situación se desarrollaba, Specter continuó publicando direcciones que identificó como conectadas al robo.

ZachXBT cuestiona a Humanity Protocol antes de revisar su evaluación

El incidente también llamó la atención del investigador de blockchain ZachXBT, quien inicialmente respondió con escepticismo a la explicación de Humanity Protocol sobre los eventos.

En su respuesta, ZachXBT criticó la reciente actividad de tokens del proyecto y sugirió que la comunidad no debería aceptar inmediatamente la narrativa del equipo. Acusó a Humanity Protocol de apoyar artificialmente el precio del token $H y pidió al proyecto que revelara sus acuerdos activos de market-making y sus relaciones con una entidad con sede en Hong Kong.

Sin embargo, varias horas después, ZachXBT publicó una respuesta de seguimiento tras realizar un análisis adicional de los movimientos de fondos. Afirmó que la supuesta actividad de market-making y OTC parecía ser independiente del compromiso de clave privada y que los dos eventos no estaban relacionados.

ZachXBT reiteró posteriormente esta posición al responder a un usuario que sugería que el compromiso reportado podría ser una excusa para el dumping de tokens. Afirmó que, si bien inicialmente sospechaba de tal escenario dado la actividad de market-making del proyecto y los recientes acuerdos OTC, la evidencia compartida con él indicaba una brecha de seguridad genuina.

En la misma actualización, ZachXBT señaló que sería irónico si el equipo hubiera pasado semanas inflando el precio del token solo para sufrir un incidente de seguridad importante poco antes del próximo desbloqueo de tokens a finales de este mes, un comentario que parecía hacer referencia a las preocupaciones anteriores que había expresado sobre la actividad de mercado del proyecto.

¿Qué es Humanity Protocol?

Humanity Protocol es un proyecto de identidad digital basado en blockchain fundado por Terence Kwok. El proyecto tiene como objetivo permitir a los usuarios demostrar que son seres humanos únicos sin depender de la identificación tradicional emitida por el gobierno ni exponer información personal sensible on-chain.

A diferencia de los proyectos que utilizan escaneos de iris o reconocimiento facial, Humanity Protocol se centra en la verificación biométrica basada en la palma de la mano. El protocolo promueve este enfoque como una alternativa centrada en la privacidad para establecer una "Prueba de Humanidad" que puede usarse en aplicaciones descentralizadas, plataformas sociales y ecosistemas blockchain.

El proyecto atrajo una atención significativa durante su desarrollo y recaudó financiamiento de varios inversores, incluidas firmas de capital de riesgo activas en el sector de las criptomonedas. Humanity Protocol se posicionó como una solución a las crecientes preocupaciones en torno a los ataques Sybil, la actividad de bots, las cuentas falsas y la creciente dificultad de distinguir a los humanos de las identidades generadas por IA en línea.

Tras una larga campaña en testnet y esfuerzos de crecimiento de la comunidad, Humanity Protocol lanzó su token nativo $H en 2026. El token está diseñado para apoyar el ecosistema e infraestructura de identidad del protocolo. Sin embargo, el proyecto también ha enfrentado críticas de algunos miembros de la comunidad cripto con respecto a su economía de tokens, actividad de mercado y valoración tras el lanzamiento del token.

El último incidente de seguridad llega apenas semanas después del lanzamiento del token $H y poco antes de un evento de desbloqueo de tokens programado, lo que genera un escrutinio adicional sobre el proyecto mientras los investigadores continúan analizando el ataque y rastreando los fondos robados.