Kompromi token Humanity Protocol H pada 8 Juni 2026 menjadi salah satu pelanggaran token yang paling merusak tahun ini, dengan kerugian yang mungkin melebihi $36 juta. Serangan ini mengenai Ethereum dan Binance Smart Chain dalam jendela terkoordinasi, dan berlangsung cukup cepat untuk menguras, mencetak, dan menjual aset sebelum kebanyakan pemegang memahami apa yang terjadi.

Menurut penyelidikan quantstamp yang dipublikasikan pada 11 Juni, pelanggaran ini dimulai dengan email phishing dan berkembang menjadi pengambilalihan lintas rantai secara penuh. Dari titik masuk tunggal itu, penyerang mencuri kunci, memindahkan jutaan token $H, mencetak pasokan baru di BSC, dan melikuidasi hasilnya melalui pertukaran terdesentralisasi.

Humanity Protocol mengundang perusahaan keamanan blockchain Quantstamp pada hari yang sama serangan terjadi. Dalam praktiknya, penyelidikan menunjukkan bagaimana serangan phishing cryptocurrency dapat menjadi jauh lebih dari sekadar masalah kotak surat ketika kunci admin berada dekat dengan perangkat pribadi.

Bagaimana kompromi token Humanity Protocol H terjadi

Pelanggaran pada 8 Juni di Ethereum dan BSC

Kompromi token Humanity Protocol H bukanlah bug kontrak pintar yang acak. Sebaliknya, itu adalah pencurian yang terarah dan berbasis kredensial yang memberi penyerang kontrol efektif atas infrastruktur protokol yang krusial di Ethereum dan Binance Smart Chain.

Operasi ini berlangsung selama sekitar delapan jam. Pada akhirnya, harga token $H telah jatuh sekitar 89%, penyedia likuiditas terkena dampak berat, dan pemegang yang tersisa ditinggalkan dengan aset yang sangat terdevaluasi. Sementara itu, penyerang sudah melanjutkan ke tahap berikutnya: likuidasi.

Aset yang menjadi target sangat penting bagi operasi token tersebut. Penyerang mengakses akun Ethereum Humanity Protocol dan BSC Safe, yang merupakan bagian dari pengeluaran dan manajemen token. Sekitar 150 dompet $H operasional, bersama dengan dompet yang digunakan untuk membiayai biaya gas mereka, juga telah dikuras.

Email phishing menyebabkan pencurian kunci dari Chong Yee Wai

Semuanya berawal dari email phishing yang dikirim kepada Chong Yee Wai, seorang direktur di entitas penerbit Humanity Protocol. Pesan tersebut menyamar sebagai bursa cryptocurrency Korea Bithumb dan tampaknya berkaitan dengan jadwal kunci pasokan yang beredar, yang membuatnya terlihat seperti komunikasi administratif rutin.

Email tersebut menyertakan lampiran berbahaya bernama Bithumb_Circulating_Supply_Lockup_Schedule.zip dan sebuah tautan ke domain yang dikelola oleh penyerang. Setelah dibuka, malware menginstal perangkat lunak akses jarak jauh di mesin Windows Chong dan mengekstrak kunci privat yang dia gunakan untuk operasi on-chain. Chong mengonfirmasi tindakan pengguna yang terlibat kepada penyidik Quantstamp.

Detail itu penting karena kompromi tidak dimulai dengan cacat protokol. Itu dimulai ketika seseorang mengklik sebuah file. Pada gilirannya, manajemen kunci bernilai tinggi tampaknya telah terkait dengan perangkat individu daripada penyimpanan dingin yang terisolasi atau modul keamanan perangkat keras, yang memungkinkan rangkaian peristiwa ini terjadi.

Pencurian token lintas rantai dan pencetakan yang tidak sah

Dengan kunci yang dicuri di tangan, penyerang bergerak cepat di kedua rantai sekaligus. Peretasan token Ethereum BSC berlangsung secara paralel, yang membuat respons lebih sulit dan mengurangi waktu yang tersedia untuk intervensi.

Di Ethereum, penyerang menggunakan kunci akun Chong yang dicuri untuk mengganti implementasi proxy warp-route Hyperlane dan memindahkan sekitar 141,18 juta token $H ke alamat yang dikelola oleh penyerang.

Di BSC, operasinya berjalan lebih jauh. Menggunakan tiga kunci Safe signer yang dicuri, penyerang mengambil alih kontrak ProxyAdmin dan kemudian menggunakan kontrol itu untuk mencetak 100 juta token $H baru ke alamat yang baru dibuat. Ini bukan hanya pencurian; itu adalah penciptaan token yang tidak sah yang meningkatkan pasokan di on-chain secara real time.

Karena penyerang beroperasi di Ethereum dan BSC secara bersamaan, tidak ada tindakan defensif tunggal yang dapat dengan mudah menghentikan kerusakan sebelum likuidasi selesai. Sebuah penundaan, pembekuan kontrak, atau penghentian jembatan di satu rantai tidak akan selalu menghentikan rantai lainnya.

Penjualan token di Uniswap dan PancakeSwap mendorong jatuhnya harga

Setelah token mencapai dompet yang dikelola oleh penyerang, fase likuidasi dimulai. Penyerang menjual $H di Uniswap di Ethereum dan PancakeSwap di BSC selama sekitar delapan jam, mengonversi pasokan yang dicuri dan dicetak menjadi ETH dan BNB.

Tekanan penjualan sangat tak henti-hentinya. Penurunan harga token sebesar 89% dalam satu sesi perdagangan bukanlah koreksi ringan; itu adalah hampir total wipeout bagi pemegang yang masih terpapar. Penyedia likuiditas di kedua bursa terdesentralisasi juga mengalami kerusakan substansial karena penjualan yang berkelanjutan menguras kolam dan memperlebar spread.

Quantstamp mengatakan hasil yang sudah dapat dilacak ke alamat penyerang yang diketahui melebihi $21 juta dalam ETH. Hasil BNB masih dinilai, dan angka final belum diselesaikan.

Berbagai outlet telah melaporkan total kerugian yang sedikit berbeda. The Block memperkirakan angka tersebut lebih dari $32 juta, sementara Decrypt melaporkan sekitar $36 juta. Selisih tersebut kemungkinan mencerminkan waktu dan apakah hasil BNB yang diperiksa sebagian termasuk. Untuk saat ini, total ETH yang dikonfirmasi menawarkan lantai, bukan langit-langit.

Mengapa kompromi token Humanity Protocol H menonjol

Serangan ini menonjol karena dua alasan. Pertama, menggabungkan pencurian kredensial dengan pengambilalihan kontrak pintar, sehingga penyerang tidak perlu mencari bug kode. Sebaliknya, mereka menggunakan akses administratif yang sah. Kedua, operasi ini bersifat lintas rantai sejak awal, dengan Ethereum dan BSC berjalan secara paralel daripada satu setelah yang lain.

Pelanggaran ini juga memperkuat pola yang telah diperingatkan oleh peneliti keamanan selama bertahun-tahun: protokol terdesentralisasi sering kali hanya seaman orang-orang yang memegang kunci admin. Tidak ada audit yang dapat menghentikan seorang direktur dari membuka file zip berbahaya di mesin Windows pribadi.

Penyelidikan Quantstamp masih berlangsung, dan temuan mungkin diperbarui seiring dengan lebih banyak aktivitas on-chain yang dilacak. Total hasil BNB masih dalam tinjauan, dan dompet yang terkompromi lainnya mungkin masih muncul dalam analisis rantai.

FAQ

Bagaimana penyerang mendapatkan akses ke kunci token Humanity Protocol?

Penyerang mengirim email phishing kepada direktur Chong Yee Wai yang menyamar sebagai bursa Korea Bithumb. Email tersebut berisi lampiran berbahaya yang menginstal malware akses jarak jauh di mesin Windows-nya, yang kemudian digunakan untuk mencuri kunci privat yang dia kendalikan.

Apa dampak serangan terhadap harga token $H?

Harga token $H anjlok sekitar 89% setelah penyerang menjual token yang dicuri dan dicetak di Uniswap dan PancakeSwap selama sekitar delapan jam pada 8 Juni 2026.

Blockchain mana yang terpengaruh oleh kompromi tersebut?

Baik Ethereum maupun Binance Smart Chain menjadi target dalam operasi lintas rantai yang terkoordinasi yang dilakukan secara bersamaan pada 8 Juni 2026.

Berapa banyak kerugian finansial yang disebabkan oleh pelanggaran ini?

Hasil ETH yang dikonfirmasi di alamat penyerang yang diketahui melebihi $21 juta. Hasil BNB masih dinilai. Laporan media terpisah memperkirakan total kerugian antara $32 juta dan $36 juta.

Langkah apa yang diambil untuk menyelidiki insiden ini?

Humanity Protocol melibatkan Quantstamp, Inc. pada 8 Juni 2026, pada hari yang sama dengan serangan tersebut. Tim respons insiden Quantstamp merekonstruksi aktivitas on-chain dan memeriksa perangkat milik Chong Yee Wai sebagai bagian dari penyelidikan yang sedang berlangsung.