Что произошло
9 июня 2026 года протокол Humanity Protocol — проект на тему proof-of-humanity, который называли «китайским Worldcoin», — лишился около $32 млн. Нативный токен H рухнул примерно на 89% за сутки. Это не взлом смарт-контракта в привычном смысле: средства утекли через компрометацию приватных ключей.
Основатель проекта Терренс Квок подтвердил инцидент, связав его с компрометацией ключей одного из участников Humanity Foundation. Иными словами, виновата не математика контрактов, а операционная безопасность — самое слабое звено почти всех крупных краж 2025–2026 годов.
Анатомия атаки
Корневая причина — грубая ошибка операционной безопасности: сотрудник хранил сразу несколько админ-ключей от мостов на одном ноутбуке. Скомпрометировав это устройство, атакующий получил доступ к самым чувствительным административным функциям протокола.
- Атакующий завладел 3 из 6 ключей Gnosis Safe в сети Ethereum и 3 из 5 в BSC — достаточный кворум для управления мультиподписью.
- Через контроль над ProxyAdmin он перехватил управление мостами протокола.
- 17 адресов, державших токен H, были системно опустошены — суммарно более $32 млн.
- Около $23,7 млн были сразу переведены в ETH; ещё ~$7,9 млн остались в H, пока цена обваливалась.
- Дополнительно атакующий доп-выпустил 100 млн токенов H на BNB Smart Chain и распродал их в ETH и BNB.
След на блокчейне
Несмотря на масштаб, атака оставила чёткий ончейн-след. Аналитики Lookonchain в реальном времени зафиксировали и опустошение адресов, и подозрительный доп-выпуск 100 млн H на BSC, и последующую распродажу. Известный исследователь ZachXBT и вовсе допустил, что инцидент мог быть «постановочным» — вопрос, который ребром ставит тему доверия к проектам с непрозрачным управлением ключами.
Мультиподпись защищает ровно до тех пор, пока её ключи хранятся раздельно. Несколько ключей на одном устройстве превращают «3 из 5» в «1 из 1».
Не баг, а человек
Humanity Protocol — не исключение, а правило последних двух лет. Крупнейшие кражи 2025–2026 годов всё чаще начинаются не с уязвимости в коде, а с человека: подмены интерфейса подписи, фишинга, социальной инженерии или, как здесь, ключей, оставленных на рабочем устройстве. Даже рекордный взлом Bybit на $1,5 млрд был не «дырой в контракте», а компрометацией процесса подписания. Аудит смарт-контрактов такое не ловит — он проверяет логику, а не то, где и как хранятся приватные ключи.
Отсюда смещение фокуса всей индустрии: операционная безопасность, аппаратное хранение, физически раздельные подписанты, лимиты и таймлоки на критичные функции мостов. А на стороне комплаенса — мониторинг постфактум: как только похищенные токены приходят в движение, важно успеть пометить адреса и предупредить площадки до того, как средства осядут на точках вывода и уйдут в наличность.
Что это значит для рынка
Взлом Humanity Protocol укладывается в главный тренд: деньги всё чаще крадут не через уязвимость контракта, а через людей и ключи. Защита смарт-контракта аудитом ничего не стоит, если приватные ключи лежат на рабочем ноутбуке.
- Вектор
- Компрометация приватных ключей (не баг контракта)
- Ущерб
- ~$32 млн, токен H −89% за сутки
- Вывод средств
- Свопы в ETH/BNB + доп-эмиссия 100 млн H на BSC
- Урок
- Раздельное хранение ключей мультиподписи, аппаратные кошельки, лимиты на мосты
Для площадок и кастодианов вывод двойной. Во-первых, управление ключами — это не «галочка», а основной контур безопасности: ключи мультиподписи нельзя держать на одном устройстве. Во-вторых, при краже критичен KYT-мониторинг исходящих: паттерн «опустошение адресов → массовая доп-эмиссия → распродажа в ETH/BNB» выявляется в реальном времени и позволяет помечать и замораживать средства на точках вывода.
