Humanity Protocol dice que el atacante robó siete claves de un dispositivo

Humanity Protocol ha identificado una máquina de desarrollador infectada con malware como el origen de la brecha de seguridad que llevó al robo y la acuñación de NFT no autorizada de aproximadamente 447 millones de tokens H en Blockchain Ethereum y BNB Smart Chain.

Según el informe del incidente de Humanity Protocol, un atacante obtuvo acceso root a un dispositivo de desarrollador y consiguió siete claves privadas que habían sido respaldadas inadvertidamente durante el lanzamiento de la mainnet del proyecto en junio de 2025. 

Las claves incluían la clave del hot wallet de administrador, tres claves de propietario de Ethereum Safe y tres claves de propietario de BSC Safe, lo que otorgó al atacante acceso a infraestructura crítica desde una única máquina comprometida.

Los hallazgos añaden nuevos detalles a un ataque que anteriormente provocó una fuerte caída del token H antes de una recuperación parcial. El 10 de junio, el token cotizaba cerca de $0,163, con un alza del 23,7% en 24 horas, aunque seguía bajando un 74,1% respecto a la semana anterior tras el exploit.

Humanity Protocol señaló que el incidente no fue causado por un fallo en sus contratos del puente entre cadenas, contratos de tokens o arquitectura Safe. En cambio, el atacante utilizó claves privadas válidas para autorizar transferencias, transacciones Safe y actualizaciones de contratos tras obtener el control de las credenciales.

El atacante usó claves robadas para tomar el control del puente entre cadenas

Según el informe, el ataque se desarrolló en tres acciones separadas entre el 8 y el 9 de junio.

Durante la primera oleada, se drenaron 6,04 millones de H de un hot wallet de administrador de Ethereum tras comprometerse su clave privada. A partir de ahí, el atacante actuó contra la infraestructura del puente entre cadenas del protocolo.

Usando tres claves robadas de un Ethereum Safe de seis miembros, el atacante transfirió la propiedad del Bridge ProxyAdmin a una billetera controlada por el atacante. Tras obtener el control administrativo, el atacante actualizó el puente entre cadenas a una implementación maliciosa y drenó 141,18 millones de H en una sola transacción.

Humanity Protocol indicó que la transacción llevaba las firmas necesarias para cumplir con los requisitos de umbral del Safe, lo que permitió que la actualización pareciera una acción autorizada en lugar de un exploit de Smart Contract.

En BNB Smart Chain, un conjunto separado de tres claves Safe comprometidas le dio al atacante el control del ProxyAdmin del token. Tras desplegar una implementación maliciosa, el atacante ejecutó tres transacciones de acuñación de NFT de 100 millones de H cada una, aumentando el suministro del token de aproximadamente 141,1 millones a 441,1 millones de H.

La investigación apunta a un único punto de compromiso

Si bien los activos del puente entre cadenas de Ethereum fueron drenados, el informe describió el token BSC como irrecuperable porque el atacante aún controla el ProxyAdmin y puede continuar acuñando tokens adicionales. Humanity Protocol señaló que el atacante conserva la propiedad tanto del puente entre cadenas como de los contratos de administración de tokens afectados en el incidente.

Las divulgaciones anteriores del proyecto se centraron en dispositivos de empleados comprometidos y claves Safe robadas. Los últimos hallazgos forenses redujeron la causa a una única máquina de desarrollador infectada con malware que almacenaba múltiples copias de seguridad sensibles. Según el informe, los investigadores creen que las siete claves privadas fueron obtenidas de ese único dispositivo.

Varias preguntas siguen sin respuesta. Humanity Protocol indicó que aún no ha determinado cuándo el atacante obtuvo acceso por primera vez, cómo se comprometió la máquina ni cuánto tiempo se mantuvieron las credenciales robadas antes de que se llevara a cabo el ataque.

En respuesta al incidente, el proyecto suspendió los depósitos y retiros a través de los puentes entre cadenas afectados, lanzó un rastreador de recuperación público y ofreció una recompensa de 1 millón de USDT por información que lleve a la recuperación de activos. Humanity Protocol indicó anteriormente que cualquier fondo recuperado se utilizaría para recomprar tokens H.