Hack de Humanity Protocol : Plus de 36 M$ volés après une compromission de clé administrateur, $H s'effondre

Humanity Protocol a divulgué un incident de sécurité le 9 juin après que le projet a indiqué que l'ordinateur portable d'un employé avait été compromis, entraînant le vol de plusieurs clés administratives contrôlant son infrastructure de bridge cross-chain Ethereum et BNB Chain. Le projet a invité les utilisateurs à ne pas interagir avec son bridge ou ses pools de liquidité pendant que les enquêteurs évaluent l'étendue de la brèche.

L'annonce est intervenue après que l'enquêteur blockchain Specter a signalé que des portefeuilles connectés à Humanity Protocol étaient vidés et que les pertes estimées avaient dépassé 30 millions de dollars. L'incident a également suscité des critiques de la part de l'enquêteur on-chain ZachXBT, qui a remis en question les activités de market-making du projet avant de déclarer plus tard que les preuves pointaient vers une véritable compromission de clé privée.

Humanity Protocol affirme que les clés compromises ont permis la prise de contrôle du bridge

12 heures après que l'incident est devenu public, Humanity Protocol a publié des détails supplémentaires sur l'attaque et a estimé les pertes totales à plus de 36 millions de dollars sur Ethereum et BNB Chain.

Selon le projet, la brèche a commencé après que l'ordinateur portable d'un employé a été compromis et que l'attaquant a obtenu trois des six clés de propriétaire Gnosis Safe contrôlant le ProxyAdmin du bridge Hyperlane sur Ethereum. À l'aide de ces clés, l'attaquant a transféré la propriété du ProxyAdmin vers un portefeuille sous son contrôle, a mis à niveau le contrat du bridge vers une implémentation malveillante, et a transféré environ 141,2 millions de tokens $H en une seule transaction.

Le projet a également affirmé que trois des cinq clés de propriétaire Safe contrôlant le bridge BNB Chain avaient été compromises. Selon Humanity Protocol, l'attaquant a utilisé la même méthode pour prendre le contrôle du contrat d'administration du bridge avant de déployer une implémentation malveillante contenant une fonction de mint illimitée.

Humanity Protocol a déclaré que l'attaquant a par la suite minté 200 000 005 tokens $H en deux transactions et les a transférés vers son propre portefeuille.

Le projet a indiqué que les dépôts et les retraits sur les bridges concernés ont été suspendus pendant que les enquêtes se poursuivent. Humanity Protocol a ajouté qu'il collabore avec des exchanges, des partenaires de sécurité et des autorités chargées de l'application de la loi afin de récupérer les fonds volés et de limiter les dommages supplémentaires.

Specter a été le premier à signaler les vidages de portefeuilles

Dans un premier message publié plusieurs heures avant que Humanity Protocol reconnaisse l'incident, Specter a déclaré que plus de 17 portefeuilles détenant des tokens $H avaient été vidés, avec des pertes estimées dépassant 5 millions de dollars. Il a publié plusieurs adresses qu'il a identifiées comme des portefeuilles de vol et a suggéré que les comptes affectés pourraient avoir partagé une exposition commune liée à Humanity Protocol, bien que le vecteur d'attaque exact soit inconnu à ce moment-là.

Au cours des heures suivantes, Specter a continué à publier des mises à jour alors que des portefeuilles supplémentaires auraient été compromis. Il a ensuite affirmé que les pertes totales dépassaient 20 millions de dollars, avec environ 9 millions de dollars en tokens $H volés échangés contre de l'ETH, tandis que 9,9 millions de dollars supplémentaires restaient invendus.

La pression de vente continue a entraîné une forte baisse du prix du Native Token de Humanity Protocol. Le token avait chuté d'environ 87 % alors que l'attaquant continuait à liquider les actifs volés.

L'enquêteur a ensuite signalé que le nombre de portefeuilles affectés était passé des 17 adresses initiales à des centaines. Il a par la suite estimé que les pertes totales avaient dépassé 30 millions de dollars.

Dans une mise à jour supplémentaire, Specter a signalé que 100 millions de tokens $H avaient été mintés et étaient vendus contre du BNB. Plusieurs heures plus tard, Humanity Protocol a divulgué que l'attaquant aurait minté 200 000 005 tokens $H sur BNB Chain après avoir pris le contrôle des contrats d'administration du bridge.

Au fur et à mesure que la situation évoluait, Specter a continué à publier des adresses qu'il identifiait comme liées au vol.

ZachXBT remet en question Humanity Protocol avant de réviser son évaluation

L'incident a également attiré l'attention de l'enquêteur blockchain ZachXBT, qui a initialement répondu avec scepticisme à l'explication des événements par Humanity Protocol.

Dans sa réponse, ZachXBT a critiqué la récente activité de tokens du projet et a suggéré que la communauté ne devrait pas accepter immédiatement le récit de l'équipe. Il a accusé Humanity Protocol de soutenir artificiellement le prix du token $H et a demandé au projet de divulguer ses accords actifs de market-making et ses relations avec une entité basée à Hong Kong.

Cependant, plusieurs heures plus tard, ZachXBT a publié une réponse de suivi après avoir effectué une analyse supplémentaire des mouvements de fonds. Il a déclaré que les activités présumées de market-making et OTC semblaient être indépendantes de la compromission de clé privée et que les deux événements n'étaient pas liés.

ZachXBT a réitéré cette position plus tard en répondant à un utilisateur qui suggérait que la compromission signalée pourrait être un prétexte pour du token dumping. Il a déclaré que, bien qu'il ait initialement soupçonné un tel scénario compte tenu de l'activité de market-making du projet et des récentes transactions OTC, les preuves qui lui ont été communiquées indiquaient une véritable faille de sécurité.

Dans la même mise à jour, ZachXBT a fait remarquer qu'il serait ironique que l'équipe ait passé des semaines à gonfler le prix du token pour ensuite subir un incident de sécurité majeur peu avant le prochain déverrouillage de tokens prévu ce mois-ci, un commentaire qui semblait faire référence aux préoccupations antérieures qu'il avait exprimées concernant l'activité de marché du projet.

Qu'est-ce que Humanity Protocol ?

Humanity Protocol est un projet d'identité numérique basé sur la blockchain, fondé par Terence Kwok. Le projet vise à permettre aux utilisateurs de prouver qu'ils sont des êtres humains uniques sans s'appuyer sur des pièces d'identité traditionnelles délivrées par les gouvernements ni exposer des informations personnelles sensibles on-chain.

Contrairement aux projets qui utilisent des scans d'iris ou la reconnaissance faciale, Humanity Protocol se concentre sur la vérification biométrique basée sur la paume de la main. Le protocole promeut cette approche comme une alternative axée sur la confidentialité pour établir une « Proof of Humanity » pouvant être utilisée dans des applications décentralisées, des plateformes sociales et des écosystèmes blockchain.

Le projet a attiré une attention significative lors de son développement et a levé des fonds auprès de plusieurs investisseurs, dont des sociétés de capital-risque actives dans le secteur des cryptomonnaies. Humanity Protocol s'est positionné comme une solution aux préoccupations croissantes concernant les attaques Sybil, l'activité des bots, les faux comptes et la difficulté croissante de distinguer les humains des identités générées par l'IA en ligne.

À la suite d'une longue campagne de testnet et d'efforts de croissance communautaire, Humanity Protocol a lancé son Native Token $H en 2026. Le token est conçu pour soutenir l'écosystème et l'infrastructure d'identité du protocole. Cependant, le projet a également fait l'objet de critiques de la part de certains membres de la communauté crypto concernant son économie de tokens, son activité de marché et sa valorisation après le lancement du token.

Le dernier incident de sécurité survient quelques semaines seulement après le lancement du token $H et peu avant un événement de déverrouillage de tokens programmé, plaçant le projet sous un examen supplémentaire alors que les enquêteurs continuent d'analyser l'attaque et de tracer les fonds volés.