Un portátil, tres clics y 300 millones de tokens H de la nada: un hacker casi destruye el proyecto cripto Humanity
La versión H en BSC ha sido oficialmente declarada irreversiblemente comprometida.
El ataque al token H del proyecto Humanity no fue una vulneración del código, sino un recordatorio doloroso de un problema antiguo del mercado cripto: basta con perder las claves privadas, y hasta una infraestructura en funcionamiento se convierte en una herramienta para el robo. El atacante obtuvo el control de varias claves del proyecto y, en unas horas, robó o emitió alrededor de 447 millones de H en las redes Ethereum y BSC.
El incidente comenzó el 8 de junio de 2026: el atacante comprometió la billetera administrativa caliente y retiró de ella 6 045 060 H a su dirección. Más tarde el ataque afectó al puente entre Ethereum y BSC. El atacante tenía tres de las seis claves de los propietarios del Safe que administraban el ProxyAdmin del puente. Ese conjunto fue suficiente para transferir el control del ProxyAdmin a la billetera del atacante, actualizar el contrato del puente a una versión maliciosa y, en una sola transferencia, sacar 141 182 632 H.
Al día siguiente se repitió un escenario similar en la red BSC, pero las consecuencias fueron aún más graves. El atacante obtuvo tres de las cinco claves de los propietarios del Safe de BSC, tomó el control del ProxyAdmin del token H y reemplazó la implementación del contrato por una maliciosa. Después invocó la función de emisión de tokens tres veces y creó 300 millones de H. La oferta de H en BSC creció aproximadamente de 141 millones a 441 millones de tokens, es decir, más de tres veces.
Según los datos del equipo de Humanity, el atacante sigue controlando el ProxyAdmin en BSC, por lo que puede emitir nuevos tokens, detener el funcionamiento del contrato o cambiar su lógica. La versión de H en BSC se considera efectivamente comprometida de forma irreversible. El puente Ethereum-BSC también permanece bajo el control del atacante y funciona con una implementación maliciosa.
No obstante, el token principal H en Ethereum, según el proyecto, no resultó afectado. Lograron congelarlo a través de un Safe sin comprometer con un umbral de 4 de 7 firmas, y la gestión de las actualizaciones quedó en manos del equipo. El puente canónico Arbitrum tampoco se vio afectado y retiene alrededor de 87 millones de H.
La causa principal del incidente no fue una vulnerabilidad de los contratos inteligentes, del puente o del Safe. El equipo de Humanity confirmó que el ordenador de uno de los empleados fue infectado por software malicioso que dio al atacante acceso completo al dispositivo. Durante el lanzamiento de la red principal de Humanity, hace aproximadamente un año, por error llegaron a ese equipo copias de seguridad de varias claves privadas, incluida la de la billetera caliente, tres claves del Safe de Ethereum y tres claves del Safe de BSC.
En total, el atacante obtuvo siete claves privadas comprometidas en un único punto. Aún se desconoce cuándo fue infectado el dispositivo, cómo el atacante obtuvo acceso completo a él y cuánto tiempo estuvieron las claves en manos del atacante antes del inicio de la operación.
El equipo del proyecto subraya que las acciones del atacante parecían operaciones legítimas, ya que estaban firmadas con claves reales. No rompió la lógica de los contratos, sino que utilizó privilegios que el sistema mismo consideraba de confianza. Humanity contrató especialistas externos para examinar forensemente los dispositivos infectados y prometió divulgar resultados adicionales más adelante. El proyecto también trabaja en un programa de ayuda para los usuarios afectados.