Взлом Humanity Protocol: украдено более 36 000 000 $после компрометации ключа администратора, $H рухнул

9 июня Humanity Protocol раскрыл информацию об инциденте безопасности: по заявлению проекта, ноутбук одного из сотрудников был скомпрометирован, что привело к краже нескольких административных ключей, управляющих инфраструктурой кроссчейн-моста Ethereum и BNB Chain. Проект призвал пользователей не взаимодействовать с мостом или пулами ликвидности, пока следователи оценивают масштабы взлома.

Объявление последовало после того, как блокчейн-исследователь Specter сообщил о массовом опустошении кошельков, связанных с Humanity Protocol, а предполагаемые потери превысили 30 000 000 $. Инцидент также вызвал критику со стороны он-чейн исследователя ZachXBT, который поставил под сомнение деятельность проекта по маркет-мейкингу, а позднее заявил, что доказательства указывают на реальную компрометацию приватных ключей.

Humanity Protocol заявляет, что скомпрометированные ключи позволили захватить мост

Спустя 12 часов после того, как инцидент стал публичным, Humanity Protocol опубликовал дополнительные сведения об атаке и оценил общие потери более чем в 36 000 000 $ в сетях Ethereum и BNB Chain.

По данным проекта, взлом начался после компрометации ноутбука сотрудника: злоумышленник получил три из шести ключей владельцев Gnosis Safe, управляющих ProxyAdmin кроссчейн-моста Hyperlane на блокчейне Ethereum. Используя эти ключи, атакующий передал права владения ProxyAdmin на подконтрольный ему кошелёк, обновил контракт моста до вредоносной реализации и перевёл около 141,2 миллиона токенов $H в одной транзакции.

Проект также заявил, что три из пяти ключей владельцев Safe, управляющих мостом BNB Chain, были скомпрометированы. По информации Humanity Protocol, злоумышленник использовал тот же метод для захвата контроля над административным контрактом моста, после чего развернул вредоносную реализацию, содержащую функцию неограниченной эмиссии.

Humanity Protocol сообщил, что злоумышленник впоследствии выпустил 200 000 005 токенов $H в двух транзакциях и перевёл их на собственный кошелёк.

Проект сообщил, что депозиты и снятие средств на затронутых мостах приостановлены на время продолжения расследования. Humanity Protocol добавил, что сотрудничает с биржами, партнёрами в области безопасности и правоохранительными органами с целью возврата похищенных средств и ограничения дальнейшего ущерба.

Specter первым сообщил об опустошении кошельков

В первоначальной публикации, вышедшей за несколько часов до того, как Humanity Protocol признал инцидент, Specter заявил, что более 17 кошельков, содержащих токены $H, были опустошены, а предполагаемые потери превысили 5 000 000 $. Он опубликовал несколько адресов, идентифицированных им как кошельки злоумышленников, и предположил, что затронутые аккаунты могли иметь общую точку уязвимости, связанную с Humanity Protocol, хотя точный вектор атаки на тот момент был неизвестен.

В течение последующих часов Specter продолжал публиковать обновления по мере того, как сообщалось о компрометации новых кошельков. Позднее он заявил, что общие потери превысили 20 000 000 $: около 9 000 000 $ в украденных токенах $H были обменяны на ETH, тогда как ещё 9 900 000 $ оставались непроданными.

Непрекращающееся давление продавцов привело к резкому падению цены нативного токена Humanity Protocol. Токен упал примерно на 87%, пока злоумышленник продолжал ликвидировать украденные активы.

Позднее следователь сообщил, что количество затронутых кошельков выросло с первоначальных 17 адресов до нескольких сотен. Впоследствии он оценил общие потери, превысившие 30 000 000 $.

В дальнейшем обновлении Specter сообщил, что 100 миллионов токенов $H были выпущены и продавались за BNB. Несколько часов спустя Humanity Protocol раскрыл, что злоумышленник предположительно выпустил 200 000 005 токенов $H в сети BNB Chain после получения контроля над административными контрактами моста.

По мере развития ситуации Specter продолжал публиковать адреса, которые он идентифицировал как связанные с кражей.

ZachXBT ставит под сомнение действия Humanity Protocol, а затем пересматривает свою оценку

Инцидент также привлёк внимание блокчейн-исследователя ZachXBT, который поначалу скептически отреагировал на объяснение Humanity Protocol произошедших событий.

В своём ответе ZachXBT раскритиковал недавнюю активность проекта с токенами и предложил сообществу не принимать сразу же версию команды. Он обвинил Humanity Protocol в искусственном поддержании цены токена $H и призвал проект раскрыть действующие соглашения о маркет-мейкинге и отношения с организацией, базирующейся в Гонконге.

Однако несколько часов спустя ZachXBT опубликовал ответное сообщение после проведения дополнительного анализа движения средств. Он заявил, что предполагаемая деятельность по маркет-мейкингу и OTC, по всей видимости, не связана с компрометацией приватных ключей, и что два события не имеют между собой связи.

ZachXBT впоследствии повторил эту позицию, отвечая пользователю, который предположил, что сообщение о компрометации может служить оправданием для сброса токенов. Он заявил, что, хотя изначально подозревал подобный сценарий ввиду деятельности проекта по маркет-мейкингу и недавних OTC-сделок, переданные ему доказательства указывают на реальное нарушение безопасности.

В том же обновлении ZachXBT отметил, что было бы иронично, если бы команда несколько недель накачивала цену токена лишь для того, чтобы незадолго до запланированной разблокировки токенов в этом месяце столкнуться с серьёзным инцидентом безопасности — комментарий, по всей видимости, отсылающий к высказанным ранее опасениям относительно рыночной активности проекта.

Что такое Humanity Protocol?

Humanity Protocol — это проект цифровой идентификации на основе блокчейна, основанный Теренсом Квоком. Проект призван позволить пользователям подтверждать свою уникальную личность без использования традиционных государственных удостоверений и без раскрытия конфиденциальных персональных данных на блокчейне.

В отличие от проектов, использующих сканирование радужной оболочки глаза или распознавание по лицу, Humanity Protocol ориентирован на биометрическую верификацию на основе ладони. Протокол позиционирует этот подход как ориентированную на конфиденциальность альтернативу для установления «Доказательства человечности», которое может применяться в децентрализованных приложениях, социальных платформах и блокчейн-экосистемах.

Проект привлёк значительное внимание в период разработки и получил финансирование от нескольких инвесторов, включая венчурные компании, активные в секторе криптовалют. Humanity Protocol позиционировал себя как решение для противодействия растущим угрозам атак Сивиллы, активности ботов, фейковых аккаунтов и всё более сложной задаче отличия людей от идентичностей, сгенерированных искусственным интеллектом в интернете.

После длительной кампании в тестовой сети и усилий по развитию сообщества Humanity Protocol запустил свой нативный токен $H в 2026 году. Токен призван поддерживать экосистему протокола и инфраструктуру идентификации. Однако проект также подвергся критике со стороны некоторых представителей криптосообщества в отношении токеномики, рыночной активности и оценки стоимости после запуска токена.

Последний инцидент безопасности произошёл всего через несколько недель после запуска токена $H и незадолго до запланированного события по разблокировке токенов, что привлекает дополнительное внимание к проекту, пока следователи продолжают анализировать атаку и отслеживать похищенные средства.