Один ноутбук, три клика — и 300 миллионов токенов H из воздуха. Хакер почти уничтожил криптопроект Humanity

Атака на токен H проекта Humanity стала не взломом кода, а болезненным напоминанием о старой проблеме крипторынка: достаточно потерять закрытые ключи, и даже рабочая инфраструктура превращается в инструмент для кражи. Злоумышленник получил контроль сразу над несколькими ключами проекта и за несколько часов украл или выпустил около 447 млн H в сетях Ethereum и BSC.

Инцидент начался 8 июня 2026 года: злоумышленник скомпрометировал административный горячий кошелёк и вывел с него 6 045 060 H на свой адрес. Позже атака затронула мост между Ethereum и BSC. У нападавшего оказались три из шести ключей владельцев Safe, которые управляли ProxyAdmin моста. Такого набора хватило, чтобы передать управление ProxyAdmin на кошелёк злоумышленника, обновить контракт моста на вредоносную версию и одним переводом вывести 141 182 632 H.

На следующий день похожий сценарий повторился в сети BSC, но последствия оказались ещё серьёзнее. Злоумышленник получил три из пяти ключей владельцев BSC Safe, перехватил управление ProxyAdmin токена H и заменил реализацию контракта на вредоносную. После этого он трижды вызвал функцию выпуска токенов и создал 300 млн H. Предложение H в BSC выросло примерно со 141 млн до 441 млн токенов, то есть более чем втрое.

По данным команды Humanity, атакующий по-прежнему контролирует ProxyAdmin в BSC, поэтому может выпускать новые токены, останавливать работу контракта или менять его логику. BSC-версия H фактически признана безвозвратно скомпрометированной. Мост Ethereum-BSC также остаётся под контролем злоумышленника и работает на вредоносной реализации.

При этом основной токен H в Ethereum, по данным проекта, не пострадал. Его успели заморозить через чистый Safe с порогом 4 из 7 подписей, а управление обновлениями осталось у команды. Канонический мост Arbitrum также не затронут и удерживает около 87 млн H.

Главная причина инцидента оказалась не в уязвимости смарт-контрактов, моста или Safe. Команда Humanity подтвердила, что компьютер одного из сотрудников был заражён вредоносной программой, которая дала злоумышленнику полный доступ к устройству. Во время запуска основной сети Humanity примерно год назад на этот компьютер по ошибке попали резервные копии нескольких закрытых ключей, включая ключ горячего кошелька, три ключа Ethereum Safe и три ключа BSC Safe.

Всего злоумышленник получил семь закрытых ключей, скомпрометированных в одной точке. Пока неизвестно, когда именно заразили устройство, как злоумышленник получил к нему полный доступ и как долго ключи находились у атакующего до начала операции.

Команда проекта подчёркивает, что действия злоумышленника выглядели как законные операции, поскольку подписывались настоящими ключами. Он не ломал логику контрактов, а использовал права, которые система сама считала доверенными. Humanity привлекла сторонних специалистов, чтобы криминалистически проверить заражённые устройства, и пообещала позже раскрыть дополнительные результаты. Также проект работает над программой помощи пострадавшим пользователям.