Le piratage de 36 millions de dollars de Humanity Protocol vide 341 millions de jetons H sur deux chaînes

Un ordinateur portable compromis. C’est essentiellement ce à quoi cela se résume. Le 8 juin, la machine d’un employé de Humanity Protocol a été touchée, et les conséquences ont effacé 36 millions de dollars de jetons H en moins de 24 heures.

La brèche n’était pas une exploitation exotique de contrat intelligent. C’était une défaillance opérationnelle classique — des clés privées laissées exposées sur un appareil, et celui qui est entré les a utilisées avec un effet dévastateur. L’attaquant a accédé aux clés de propriétaire de Gnosis Safe et à un rôle ProxyAdmin du pont Hyperlane. À partir de là, 141,2 millions de jetons H ont été déplacés sur Ethereum. Puis 200 millions de plus ont été fraîchement émis sur BNB Smart Chain. Cela fait 341 millions de jetons soit vidés, soit créés à partir de rien, déversés sur des marchés qui ne pouvaient pas les absorber.

Le jeton H a atteint 0,17 $.

C’est une chute de 76 % en une seule journée. La capitalisation boursière s’élevait à 476 millions de dollars. Le volume d’échanges a atteint 533 millions de dollars — plus de volume que la capitalisation totale, ce qui est presque toujours un mauvais signe. Les pools de liquidité ont été écrasés. Quiconque détenait des jetons H a vu ses avoirs s’évaporer tandis que l’équipe s’efforçait de comprendre ce qui s’était passé.

Qui a été touché et comment

Le fondateur Terence Kwok est intervenu et a attribué la brèche à des clés compromises appartenant à un membre de la Humanity Foundation. Il l’a présentée comme un problème de sécurité opérationnelle plutôt qu’une exploitation au niveau du protocole, ce qui est probablement la bonne lecture — mais cela ne rend pas les dégâts moins réels.

La configuration de Gnosis Safe est censée être multi-sig, ce qui signifie que plusieurs parties doivent approuver avant que les fonds ne bougent. Si un attaquant a obtenu suffisamment de clés de propriétaire à partir d’une machine compromise, cette protection s’effondre rapidement. Et l’accès ProxyAdmin du pont Hyperlane a aggravé les choses — c’est le rôle qui contrôle comment les jetons se déplacent entre les chaînes. Y accéder signifie que vous pouvez émettre d’un côté sans brûler de l’autre. Essentiellement de l’argent gratuit, aux dépens de tout le monde.

Humanity Protocol a dit aux utilisateurs d’arrêter immédiatement d’interagir avec son pont et ses pools de liquidité. L’équipe a déclaré travailler avec des entreprises de sécurité et des partenaires d’échange pour gérer les retombées. Les échanges et les fournisseurs de liquidité surveillent apparemment les voies affectées pour s’assurer qu’elles sont correctement désactivées et auditées. Les jetons émis sans autorisation circulant sont un vrai problème — les récupérer, ou au moins les neutraliser, n’est pas simple.

Article connexe : Les jetons H de Humanity Protocol s’effondrent de 90 % après une brèche de 32 millions de dollars due à une clé privée

Aucune preuve d’accès aux données biométriques des utilisateurs ou aux informations personnellement identifiables n’a émergé jusqu’à présent. Le protocole veut que ce point soit au centre, et c’est probablement la seule bonne nouvelle ici.

Sur le même sujet: Le jeton H de Humanity Protocol seffondre de 90% après une violation de clé privée de 32 millions de dollars

Pourquoi cela frappe plus fort pour un projet d’identité

Humanity Protocol n’est pas un protocole DeFi générique. C’est un réseau d’identité. Il utilise des preuves à divulgation nulle de connaissance et une vérification biométrique pour permettre aux utilisateurs de prouver qui ils sont sans exposer de données personnelles brutes. L’argument est la confiance — que le système peut vérifier un humain sans divulguer quoi que ce soit de sensible.

Et cela rend une brèche comme celle-ci différente. La couche cryptographique a tenu. Les preuves ZK n’ont pas été brisées. Les données biométriques n’ont pas fuité. Mais la couche opérationnelle — les clés d’administration, les rôles de pont, la configuration multi-sig — c’est ce qui a craqué. Pour un projet se vendant comme un intermédiaire d’identité fiable, voir la chaîne de confiance se rompre au niveau des clés d’administration est un sérieux problème de crédibilité.

C’est un écart qui apparaît dans tous les projets d’identité blockchain, pas seulement celui-ci. Les systèmes multi-chaînes dépendent des ponts, et les ponts dépendent des contrôles d’administration, et les contrôles d’administration dépendent de ceux qui détiennent les clés. Si ces clés se trouvent sur un ordinateur portable compromis, toute la cryptographie avancée du monde ne sert à rien.

Le secteur plus large de l’identité a été attentif. Les projets construits sur des cadres similaires — vérification biométrique, preuves ZK, infrastructure inter-chaînes — font probablement des audits internes en ce moment. Ils devraient le faire.

Lire aussi : Les outils de trading IA prennent des parts de marché alors que la crypto fonctionne 24/7 en 2026

Voir aussi: Le PDG de Netomi voit une vague dIA de 5 000 milliards de dollars stimuler la demande de stablecoins

Ce qui attend Humanity Protocol

La voie à suivre pour le projet est floue. Restaurer la confiance du marché après une chute de 76 % du jeton et 341 millions de jetons en circulation non autorisée n’est pas une solution rapide. Les partenaires et les utilisateurs doivent voir des changements concrets dans la gestion des rôles d’administration, la façon dont les clés sont stockées, et comment les autorisations de pont sont structurées.

Kwok et l’équipe n’ont pas encore publié de plan de remédiation détaillé publiquement. Aucun calendrier pour relancer le pont. Aucune précision sur la rotation des clés compromises ou la gestion des jetons émis. On ne sait pas si les partenaires d’échange ont gelé les portefeuilles concernés.

L’enquête est en cours. 341 millions de jetons. 36 millions de dollars. Un ordinateur portable.

Hub : prix, actualités et analyses du BNB