Humanity Protocol mengalami salah satu insiden keamanan paling parah dalam sejarah proyek ini pada 8 Juni — kehilangan lebih dari $36 juta di Ethereum dan BNB Chain dalam serangan terkoordinasi yang mengeksploitasi kunci privat yang terkompromi untuk menguasai infrastruktur jembatan proyek dan mencetak ratusan juta token yang tidak sah.
Token asli protokol H anjlok dari sekitar $0.73 menjadi serendah $0.07 dalam beberapa jam — penurunan intraday lebih dari 80% — saat berita tentang kebocoran menyebar di komunitas crypto.
Tim Humanity Protocol mengonfirmasi insiden ini di X keesokan harinya:
“Saat ini, ~$36M+ telah dicuri di kedua rantai dan dibuang. Ini adalah hasil dari pelanggaran yang terjadi setelah laptop seorang karyawan dikompromikan.”
Pendiri Terence Kwok mengonfirmasi insiden tersebut dan mengakui kemungkinan bahwa kunci pribadi seorang karyawan telah disadap. Penyidik on-chain ZachXBT bergerak cepat untuk mengawasi penjelasan tim, mengangkat pertanyaan tentang apakah insiden ini mungkin melibatkan pembuat pasar proyek daripada hanya kompromi laptop eksternal. Penyelidikan tetap berlangsung.
Bagaimana Serangan Sebenarnya Terjadi
Eksekusi teknis dari serangan ini sangat canggih dan multi-tahap — menunjukkan persiapan awal daripada eksploitasi oportunistik dari satu kerentanan.
Di Ethereum, penyerang memperoleh tiga dari enam kunci pemilik Gnosis Safe yang secara kolektif mengontrol ProxyAdmin jembatan Hyperlane. Dengan kontrol mayoritas atas kunci-kunci tersebut, penyerang melakukan transfer kepemilikan ProxyAdmin ke dompet mereka sendiri — secara efektif merebut kontrol administratif kontrak jembatan. Mereka kemudian memperbarui jembatan ke implementasi jahat dan menguras sekitar 141,2 juta H token dalam satu transaksi.
Di BNB Chain, operasi paralel berlangsung. Tiga dari lima kunci pemilik Safe yang mengontrol jembatan BSC telah dikompromikan. Penyerang melakukan pencurian ProxyAdmin yang sama, tetapi kali ini menerapkan implementasi jahat yang berisi fungsi mint tak terbatas. Menggunakan fungsi itu, penyerang mencetak 200.000.005 H token dalam dua tranche langsung ke dompet mereka — menciptakan koin dari ketiadaan sebelum mencairkannya ke pasar.
Kombinasi pengurasan jembatan di Ethereum dan pencetakan tak terbatas di BSC menghasilkan kejutan pasokan terkoordinasi yang diserap pasar melalui keruntuhan harga yang segera dan parah. Semua setoran dan penarikan ke jembatan yang terpengaruh sejak itu telah dihentikan, dengan Humanity Protocol menyatakan sedang bekerja dengan bursa dan penegak hukum untuk meminimalkan kerusakan lebih lanjut dan mencoba memulihkan dana yang dicuri.
Kegagalan Arsitektur di Pusat Serangan
Struktur multisig Gnosis Safe yang seharusnya melindungi infrastruktur jembatan Humanity Protocol menjadi vektor serangan utama. Dompet multisig memerlukan beberapa kunci pribadi untuk mengesahkan transaksi — asumsi keamanan adalah bahwa mengompromikan satu kunci saja tidak cukup untuk mengesahkan tindakan jahat. Jembatan Humanity dilindungi oleh konfigurasi enam-dari-enam dan lima-dari-lima Safe.
Serangan ini menunjukkan bahwa perlindungan ini runtuh jika beberapa kunci disimpan di perangkat yang terhubung atau dikelola oleh individu yang perangkatnya dapat dikompromikan secara bersamaan. Jika tiga dari enam kunci dapat diakses melalui satu kompromi laptop — atau melalui seperangkat perangkat yang terkait dan dikompromikan — perlindungan multisig secara efektif bersifat teoretis daripada operasional.
Fungsi mint tak terbatas yang diterapkan di BSC mewakili elemen yang sangat mengkhawatirkan. Menciptakan dan menerapkan implementasi kontrak pintar yang jahat dengan kemampuan penciptaan token yang tidak terbatas memerlukan persiapan teknis yang signifikan dan pengujian pra-penyebaran. Ini bukan jenis serangan yang dapat dilakukan secara spontan — ini memerlukan kontrak yang siap, siap untuk diterapkan segera setelah akses ProxyAdmin diamankan.
Kontroversi yang Sudah Ada Sebelum Serangan Terjadi
Waktu pelanggaran datang pada proyek yang sudah menghadapi kritik komunitas yang signifikan — dan kombinasi ini telah merusak lebih dari angka dolar.
Awal tahun ini, Humanity Protocol menjalankan kampanye promosi yang mengalokasikan $2,2 juta dalam bentuk token H kepada para staker Kaito dan peserta komunitas yang dijelaskan sebagai Humanity Yappers. Ribuan pengguna berpartisipasi dalam kampanye berdasarkan struktur imbalan yang diumumkan. Ketika kampanye berakhir, aturan distribusi akhir tidak pernah ditetapkan dengan jelas — dan anggota komunitas mencatat bahwa pendiri proyek tampaknya telah mengarahkan $60.000 dari imbalan kampanye yang dijanjikan sebesar $100.000 ke dompetnya sendiri.
Kombinasi struktur imbalan yang tidak jelas dan alokasi diri pendiri dari kolam komunitas menciptakan defisit kepercayaan yang persis seperti jenis yang membuat pelanggaran keamanan selanjutnya menghancurkan daripada sekadar merusak. Komunitas yang sudah mempertanyakan apakah kepemimpinan proyek bertindak dengan itikad baik kini telah menyaksikan lebih dari $36 juta meninggalkan protokol dalam keadaan yang menurut ZachXBT mungkin tidak sepenuhnya dijelaskan oleh narasi kompromi laptop.
Apa Selanjutnya
Humanity Protocol bekerja dengan penegak hukum dan mitra bursa untuk melacak dan berpotensi memulihkan dana yang dicuri. Alamat on-chain yang terlibat dalam serangan ini terlihat publik dan sedang dipantau secara aktif oleh komunitas keamanan.
Kelayakan jangka panjang protokol menghadapi pertanyaan yang lebih sulit daripada pemulihan dana. Misi yang dinyatakan oleh Humanity Protocol melibatkan verifikasi identitas digital dan membangun infrastruktur kepercayaan — ironi dari proyek yang didirikan di atas identitas dan kepercayaan yang menghadapi baik kontroversi tata kelola maupun pelanggaran keamanan yang bencana tidak hilang dari komunitas yang saat ini memegang token yang tidak berharga.
Saran ZachXBT bahwa mungkin ada pembuat pasar yang terlibat menambahkan dimensi lain yang sedang diperhatikan komunitas. Jika vektor serangan meluas di luar satu laptop yang dikompromikan untuk mencakup entitas dengan akses istimewa ke infrastruktur keuangan protokol, penjelasan yang ditawarkan tim secara publik menjadi sangat tidak memadai.
Penyelidikan sedang berlangsung. Perdagangan token H terus berlanjut pada sebagian kecil dari harga sebelum serangan.