Sorotan Utama
Protokol Kemanusiaan ($H) mengalami eksploitasi multi-tahap yang canggih pada 8 Juni 2026 — terjun -80,46% dalam 24 jam dari puncak $0,7320 ke terendah $0,07471 — saat ini diperdagangkan di $0,1386 dengan kapitalisasi pasar sebesar $392,6 juta.
Serangan ini melibatkan pengambilalihan multisig 3-dari-5 — penyerang berhasil mendapatkan 3 tanda tangan, mengganti kontrak token dengan implementasi berbahaya, dan mencetak 200 juta $H dari nol sebelum menguras dompet yang ada secara bersamaan.
Total yang diekstrak: $31M+ (17.800 ETH + 2.700 BNB) — semuanya hanya melalui DEX — dengan penyerang masih memegang posisi $H yang signifikan yang belum terjual dan likuiditas on-chain yang sangat berkurang.
Empat tanda merah spesifik — dompet terkoordinasi yang dibiayai sebelumnya, waktu pembukaan yang sempurna, rute hanya DEX, dan kesulitan mencuri 3 tanda tangan multisig secara eksternal — memicu kecurigaan serius dari komunitas akan keterlibatan orang dalam.
Pada 8 Juni 2026, Humanity Protocol ($H) mengalami salah satu eksploitasi paling mengejutkan tahun ini. Token anjlok lebih dari 80% dalam beberapa jam — dari puncak 24 jam sebesar $0.7320 menjadi terendah $0.07471 — saat ini diperdagangkan di $0.1386 dengan kapitalisasi pasar sekitar $392,6 juta.
Harga Humanity Protocol ($H)/Sumber: Coinmarketcap
Apa yang dijelaskan oleh Humanity Protocol sebagai 'kompromi kunci pribadi' adalah sesuatu yang jauh lebih canggih — dan jauh lebih merusak. Eksploitasi 9 Juni 2026 bukanlah pelanggaran kunci tunggal. Itu adalah pengambilalihan kontrak penuh — melibatkan kompromi tanda tangan multisig, penggantian kontrak proxy, dan pengurasan dompet terkoordinasi di ratusan alamat — semua dieksekusi dengan tingkat ketepatan dan persiapan yang dibuktikan oleh bukti on-chain tidak menunjukkan improvisasi.
Seperti yang kami bahas dalam artikel runtuh $H pertama kami — ZachXBT menandai kemungkinan keterlibatan pembuat pasar dan analis on-chain mendokumentasikan hampir 300 dompet yang dibiayai sebelumnya menjual dari dua kelompok pembukaan yang terpisah. Tindak lanjut ini memberikan gambaran teknis lengkap tentang bagaimana serangan sebenarnya dieksekusi — langkah demi langkah — berdasarkan analisis mendetail yang diterbitkan oleh GoPlus Security.
Sebagai konteks tentang bagaimana eksploitasi pencetakan semacam ini telah terjadi di rantai lain — kami membahas mekanika serupa dalam analisis eksploitasi Hyperbridge kami — di mana seorang penyerang mencetak 1 miliar token DOT yang dijembatani melalui kerentanan gerbang — dan artikel eksploitasi KelpDAO kami. Serangan $H mengikuti arsitektur eksploitasi dasar yang sama — tetapi dengan tambahan operasi pengurasan multi-dompet terkoordinasi yang secara signifikan memperbesar total kerusakan.
Pernyataan Resmi — dan Kenapa Ini Kurang Memadai
Akunt resmi proyek @Humanityprot mengumumkan:
"Kami menyadari adanya insiden keamanan yang melibatkan kompromi kunci pribadi milik anggota Humanity Foundation... Harap JANGAN berinteraksi dengan jembatan atau kolam likuiditas mana pun."
Tim mengonfirmasi mereka bekerja dengan ahli keamanan dan mitra bursa. Namun, membingkai ini sebagai "kompromi kunci pribadi" secara signifikan meremehkan apa yang ditunjukkan oleh bukti on-chain tentang apa yang sebenarnya terjadi. Ini bukan hanya satu kunci yang dicuri. Ini adalah perombakan sistematis dari arsitektur keamanan kontrak token — diikuti dengan ekstraksi terkoordinasi di ratusan dompet secara bersamaan.
Tanggapan Humanity tentang Peretasan/Sumber: @Humanityprot (X)
Berikut adalah bagaimana semuanya terungkap.
Serangan Humanity ($H) — Langkah demi Langkah
Sumber: Analisis GoPlus Security
Langkah 1 — Mengompromikan Multisig Wallet
Kontrak token $H di BNB Chain menggunakan dompet multisig 3 dari 5 Safe sebagai mekanisme kontrol aksesnya — yang berarti setiap tindakan administratif memerlukan tanda tangan dari 3 dari 5 pemilik yang ditunjuk.
Penyerang memperoleh 3 tanda tangan — ambang batas yang tepat diperlukan — dan menggunakannya untuk mengubah pemilik kontrak ProxyAdmin (0xd73Cd111). Bagaimana tepatnya 3 dari 5 tanda tangan diperoleh adalah pertanyaan utama yang belum terpecahkan — dan yang paling langsung menginformasikan debat orang dalam vs eksternal.
Mendapatkan 3 dari 5 tanda tangan multisig dari pihak yang benar-benar independen melalui serangan eksternal adalah sangat sulit. Setiap penanda perlu dikompromikan secara independen melalui vektor serangan terpisah — kompromi perangkat keras, phishing, atau rekayasa sosial — tanpa salah satu dari 5 penanda menyadari atau memberi tahu yang lain. Probabilitas ini terjadi secara eksternal tanpa keterlibatan orang dalam rendah — yang tepat mengapa kecurigaan komunitas terhadap akses orang dalam ke beberapa kunci tanda tangan tidak tidak masuk akal.
Membobol Multisig Wallet/Sumber: @GoPlusSecurity (X)
Langkah 2 — Mengambil Kepemilikan Penuh dari Kontrak Token
Dengan kepemilikan ProxyAdmin yang aman — dompet penyerang:
0x6aa22cb8420e94fc2119364b4c7885710ae753bb
menjadi pemilik baru kontrak proxy resmi $H (0x44F161aE) — memberikan kontrol administratif penuh atas infrastruktur inti token.
Ini adalah titik tanpa kembali. Begitu penyerang memegang kepemilikan kontrak proxy — mereka dapat melakukan apa pun yang bisa dilakukan admin kontrak yang sah — termasuk mengganti seluruh logika implementasi.
Langkah 3 — Memperbarui ke Kontrak Jahat
Dengan hak admin penuh — penyerang mengganti implementasi token $H yang sah dengan kontrak jahat mereka (0xD18cDc9F). Pembaruan ini mempertahankan penampilan eksternal token — pemegang yang ada masih melihat saldo $H mereka — tetapi logika dasarnya sekarang melayani penyerang daripada protokol.
Teknik ini — penggantian kontrak proxy melalui akses admin yang dikompromikan — adalah salah satu vektor serangan paling berbahaya dalam arsitektur kontrak pintar yang dapat diperbarui. Ini adalah mengapa audit keamanan kontrak pintar secara khusus fokus pada mekanisme kontrol akses dan mengapa ambang multisig ada. Dalam hal ini, kedua perlindungan tersebut telah dilanggar.
Mengambil Kepemilikan Penuh dari Kontrak Token/Sumber: @GoPlusSecurity (X)
Langkah 4 — Mencetak 200 Juta Token $H Baru
Dengan kontrak jahat yang sudah ada — penyerang memanggil fungsi mint dalam dua tranche:
Pencetakan pertama: 100 juta $H
Dua jam kemudian: 100 juta $H lainnya
200 juta token dibuat dari nol — ditambahkan ke pasokan beredar token dengan likuiditas pasar yang ada. Dampak dilusi pada pemegang yang ada segera dan bencana — dan token yang baru dicetak memberikan amunisi penjualan tambahan di atas dompet yang ada yang sedang dikuras secara bersamaan.
Seperti yang kami bahas dalam eksploitasi pencetakan Hyperbridge kami — pencetakan token baru yang digabungkan dengan likuidasi DEX menghindari batasan pasokan yang biasanya membatasi penjualan dari pihak dalam. Kerusakan ekonomi diperbesar melampaui apa yang dihasilkan hanya dari kepemilikan token yang sudah ada.
Mencetak 200 Juta Token $H Baru/Sumber: @GoPlusSecurity (X)
Langkah 5 — Menguras Token yang Ada Dari Beberapa Dompet
Secara bersamaan dengan operasi pencetakan — penyerang mengakses 7 dompet besar ditambah ratusan alamat lebih kecil — termasuk alokasi tim dan yayasan yang baru dibuka — dan membuang sekitar 249 juta token $H yang ada ke pasar.
Skala akses dompet terkoordinasi ini — di seluruh alamat dengan sejarah pembukaan yang berbeda selama berminggu-minggu dan berbulan-bulan — adalah apa yang membuat narasi satu kunci pribadi secara struktural tidak mungkin. Seperti yang didokumentasikan dalam artikel $H pertama kami — dompet penjual memiliki biaya gas mereka ditarik dari Gate.io dan Bybit tiga minggu sebelum peristiwa — garis waktu persiapan yang secara definisi tidak konsisten dengan eksploitasi reaktif dari kerentanan yang ditemukan secara tidak terduga.
Langkah 6 — Mencairkan Semua Melalui DEX
Semua token — 200 juta yang baru dicetak ditambah 249 juta yang telah dikuras dari dompet yang ada — secara sistematis sedang ditukar di bursa terdesentralisasi untuk BNB dan ETH:
Aset DiterimaJumlahNilai PerkiraanETH~17.800 ETH~$29.7MBNB~2.700 BNB~$1.6MTotal—$31M+
Setiap penjualan diarahkan secara eksklusif melalui DEX — dengan sengaja menghindari bursa terpusat mana pun di mana persyaratan KYC, pemantauan akun, atau pembekuan transaksi dapat mengidentifikasi atau menghentikan ekstraksi. Disiplin operasional untuk mengarahkan ratusan penjualan dompet secara eksklusif melalui DEX — di seluruh operasi — konsisten dengan peserta yang memahami dengan tepat bagaimana mengeksekusi keluar yang bersih.
Mencairkan $H Melalui DEX/Sumber: @GoPlusSecurity (X)
Empat Tanda Merah yang Tidak Sesuai dengan Peretasan Eksternal
Analisis GoPlus Security dan penyelidikan komunitas telah mengidentifikasi empat karakteristik spesifik yang masing-masing secara individu tidak biasa — dan secara kolektif membangun kasus bersifat sirkumstantial yang kuat untuk keterlibatan orang dalam:
Gas dibiayai sebelumnya Beberapa minggu sebelum eksploitasi, dompet penjual menarik biaya gas dari Gate.io dan Bybit. Penyerang eksternal yang menemukan kerentanan tidak menyiapkan infrastruktur keluar mereka berminggu-minggu sebelumnya. Orang dalam yang merencanakan keluar melakukannya.
Waktu yang sempurna dengan pembukaan token besar Serangan terjadi segera sebelum pembukaan token yang signifikan — memaksimalkan jumlah pasokan yang tersedia untuk diekstrak sambil meminimalkan waktu antara pembukaan dan keluar. Ketepatan waktu ini menunjukkan kesadaran terhadap jadwal pembukaan dari dalam.
Rute hanya DEX di semua dompet Setiap penjualan — di ratusan dompet — sepenuhnya menghindari bursa terpusat. Tingkat disiplin operasional yang konsisten di seluruh set dompet terdistribusi menunjukkan peserta terkoordinasi yang mengikuti protokol bersama daripada penyerang eksternal yang mengimprovisasi.
Komplikasi multisig 3 dari 5 Mendapatkan 3 tanda tangan dari multisig 3 dari 5 melalui cara eksternal murni — tanpa akses orang dalam ke infrastruktur tanda tangan — memerlukan mengompromikan secara independen 3 lingkungan perangkat keras atau perangkat lunak terpisah milik 3 individu yang berbeda. Probabilitas mencapainya tanpa kerjasama orang dalam sangat rendah.
Status Saat Ini dan Apa yang Masih Berisiko
ItemStatusPosisi $H yang tersisaPenyerangPosisi yang signifikan tidak terjualLikuiditas DEXSeverely depletedJembatan dan kolam likuiditasJANGAN berinteraksiPenyelidikan resmiSedang berlangsungDana yang dipulihkanTidak ada yang terkonfirmasi
Penyerang masih memegang posisi $H yang signifikan tidak terjual — dan dengan likuiditas DEX yang sangat berkurang — setiap upaya untuk menjual token yang tersisa akan menghasilkan dampak harga yang bencana di pasar yang sudah hancur.
$H Pemegang Peretas/arkm
Apa yang Harus Dilakukan Pemegang Saat Ini
Cabut semua persetujuan kontrak segera — Gunakan Revoke.cash atau alat serupa untuk menghapus setiap persetujuan terkait $H dari dompet Anda. Ini adalah tindakan perlindungan terpenting yang tersedia.
Jangan berinteraksi dengan jembatan atau kolam likuiditas — Keduanya tetap dikompromikan sampai proyek mengonfirmasi resolusi penuh dan audit keamanan.
Ikuti hanya saluran resmi yang terverifikasi — Pantau @Humanityprot untuk pembaruan resmi — abaikan spekulasi komunitas tentang rencana pemulihan atau pembakaran token sampai dikonfirmasi secara resmi.
Jangan beli saat harga turun — Dengan penyerang memegang posisi tidak terjual yang signifikan dan likuiditas yang sangat berkurang — setiap stabilisasi harga yang tampak rapuh dan segera rentan terhadap pembalikan akibat penjualan lebih lanjut.
Kesimpulan
Eksploitasi Humanity Protocol bukanlah sekadar kompromi kunci pribadi. Itu adalah serangan multi-tahap yang canggih — pengambilalihan multisig, penggantian kontrak proxy, pencetakan token baru, dan pengurasan dompet terkoordinasi di ratusan alamat — dieksekusi dengan persiapan yang dimulai setidaknya tiga minggu sebelum peristiwa tersebut.
Apakah tanda tangan multisig 3 dari 5 diperoleh melalui serangan eksternal atau akses orang dalam adalah pertanyaan utama yang belum terpecahkan. Bukti on-chain — dompet gas yang dibiayai sebelumnya, eksploitasi pembukaan yang tepat waktu, disiplin rute hanya DEX, dan kompleksitas operasional mengoordinasikan ratusan dompet — membangun kasus bersifat sirkumstantial yang serius yang diambil oleh komunitas dan penyelidik seperti ZachXBT.
$31M telah diekstrak. Penyerang masih memegang token. Likuiditas telah habis. Sampai penyelidikan menghasilkan temuan yang terverifikasi — kehati-hatian ekstrem adalah satu-satunya respons yang tepat.
Penafian: Pandangan dan analisis yang disajikan dalam artikel ini hanya untuk tujuan informasi dan mencerminkan perspektif penulis, bukan nasihat keuangan. Pola teknis dan indikator yang dibahas tunduk pada volatilitas pasar dan mungkin atau mungkin tidak menghasilkan hasil yang diharapkan. Investor disarankan untuk berhati-hati, melakukan penelitian independen, dan membuat keputusan yang sesuai dengan toleransi risiko individu mereka.