Un proiect care promitea să devină garantul identității umane pe blockchain a demonstrat, fără să vrea, cât de fragilă îi era propria fundație. Pe 8 iunie 2026, tokenul H al Humanity Protocol a pierdut aproape 90% din valoare în doar câteva ore. Atacatori neidentificați au golit portofelele a sute de utilizatori și au emis din nimic 200 de milioane de tokeni noi, iar paguba totală confirmată de echipă a urcat la 36 de milioane de dolari.
Explicația oficială a hackului pare desprinsă dintr-un manual de greșeli elementare. Laptopul unui membru al Humanity Foundation ar fi fost compromis, iar pe acel dispozitiv stăteau suficiente chei private pentru a deschide două seifuri digitale despre care toată lumea credea că nu pot fi deschise de un singur om. Sună absurd. Este exact ce s-a întâmplat.
Așa cum a documentat pe larg publicația de știri și analize crypto în limba română Cryptology.ro, acolo unde analistul Mihai Popa a semnat investigația originală a cazului, povestea nu se oprește la o neglijență tehnică. Investigatori respectați din industrie contestă versiunea oficială, iar calendarul evenimentelor adaugă un strat suplimentar de suspiciune.
Cronologia prăbușirii de 89 la sută
Primul semnal nu a venit de la echipa proiectului. Investigatorul on-chain cunoscut sub pseudonimul SpecterAnalyst a observat transferuri neobișnuite de tokeni H, în valoare de aproximativ 5 milioane de dolari, mișcări care nu semănau deloc cu activitatea normală a pieței.
La scurt timp, firma de securitate PeckShield a confirmat dimensiunea reală a problemei. Prețul tokenului se prăbușise cu 89%, iar atacatorii extrăseseră tokeni de circa 30 de milioane de dolari din peste 280 de portofele de utilizatori, aproape 190 de milioane de unități în total.
Lovitura a avut și o a doua componentă. Pe BNB Chain, două tranșe de câte 100 de milioane de tokeni H au fost emise din senin, diluând o piață aflată deja în cădere liberă. Abia după instalarea panicii, contul oficial al proiectului a confirmat public incidentul (https://x.com/Humanityprot/status/2064167144120877127), descriindu-l drept o breșă de securitate cauzată de compromiterea cheilor private ale unui membru al fundației. Utilizatorii au fost sfătuiți să evite puntea blockchain a proiectului și fondurile de lichiditate. Pentru mulți dintre ei, avertismentul a sosit după ce tokenii dispăruseră deja din portofele, fără ca vreo tranzacție să fi fost semnată.
Actualizarea oficială ulterioară a ridicat bilanțul la 36 de milioane de dolari și a adus primele detalii tehnice. Prin laptopul compromis, atacatorii au obținut trei dintre cele șase chei care controlau contractul de punte de pe Ethereum, au modificat contractul și au mutat aproximativ 141,2 milioane de tokeni H într-o singură tranzacție. În paralel au căzut și trei dintre cele cinci chei ale seifului de pe BNB Chain, ceea ce a deschis drumul emisiunii celor 200 de milioane de tokeni suplimentari.
Pe 10 iunie, echipa a publicat un raport post-event (https://humanityprotocol.notion.site/H-Token-Incident-Update-37ab0ec467a781d7af06e7dcedd66852) și a anunțat o recompensă de 1 milion de USDT pentru informații care duc la recuperarea fondurilor.
Un multisig care nu mai era multisig
Toată povestea se sprijină pe un mecanism care, odată explicat, lămurește restul. Un portofel multisig funcționează ca un seif cu mai multe chei. Într-o configurație de tip 3 din 6, oricare trei semnături din șase autorizate validează o tranzacție. Dacă o cheie este furată, fondurile rămân protejate, pentru că atacatorul mai are nevoie de încă două.
Protecția ține însă de o condiție pe care nimeni nu o scrie în cod. Cheile trebuie distribuite între oameni diferiți, pe dispozitive diferite. Trei chei păstrate pe același laptop nu mai formează un multisig, ci o singură cheie cu trei nume. Exact această concentrare a anulat, la Humanity Protocol, două sisteme de securitate teoretic independente. Ambele praguri de semnătură, cel de pe Ethereum și cel de pe BNB Chain, au fost atinse prin spargerea unui singur dispozitiv.
Ironia nu a scăpat nimănui. Mikko Ohtamaa, cofondatorul Trading Strategy, a observat că Humanity Protocol există tocmai pentru a garanta că în spatele unei adrese se află un om real și unic, nu mai multe identități controlate de aceeași persoană. Aceasta este chiar definiția atacului Sybil, pe care proiectul promite să îl elimine. În propriul sistem de chei, trei din șase aparțineau totuși aceluiași om. Echipa nu și-a aplicat propriul protocol propriei trezorerii.
Fisurile din versiunea oficială
Explicația cu laptopul compromis ridică mai multe întrebări decât rezolvă. Dezvoltatorul Banteg, una dintre figurile centrale ale Yearn Finance, s-a declarat șocat că trei chei private ale aceluiași membru au putut fi capturate simultan. Observația lui cea mai incomodă privește însă cronologia.
Portofelul de pe BNB Chain a primit chei noi relativ repede, dar cel de pe Ethereum a rămas compromis cel puțin 14 ore. Pentru un proiect aflat în plină criză, cu fonduri care se scurgeau la vedere, o asemenea întârziere este greu de pus exclusiv pe seama neglijenței. Banteg a formulat concluzia cu prudență, dar a numit plauzibilă ipoteza unei implicări din interior.
Firma de securitate Beosin a adăugat un element și mai tulburător. Contractul modificat de atacatori permitea transferul tokenilor H direct din portofelele victimelor, fără nicio aprobare din partea acestora. Un hoț obișnuit fuge cu ce găsește în seif. Aici, regulile jocului au fost rescrise din temelii, ceea ce hrănește întrebarea dacă incidentul nu a fost, în realitate, o retragere deliberată orchestrată de cineva cu acces legitim, adică un rug pull deghizat.
Cel mai cunoscut investigator independent din industrie, ZachXBT, a reacționat tăios la comunicatul inițial, întrebând public de ce ar trebui crezut pe cuvânt un proiect al cărui token tocmai trecuse printr-un episod pe care el l-a numit „crime pump” (https://x.com/zachxbt/status/2064191049267052853).
Referința viza creșterea de aproape 400% a tokenului H din ultimele zile ale lunii mai, o mișcare violentă, fără catalizator clar, vizibilă în datele CoinGecko (https://www.coingecko.com/en/coins/humanity).
Într-o postare ulterioară, ZachXBT a descris incidentul drept posibil regizat și a sugerat că ar fi servit drept ieșire convenabilă pentru formatorul de piață al tokenului. După analiza tiparului de spălare a fondurilor furate, a revenit asupra acuzației, fiindcă fluxurile nu se potriveau cu o operațiune internă. Retractarea contează și o consemnăm ca atare. La fel de mult contează însă că acuzația a părut credibilă unei părți semnificative a industriei.
Deblocarea de tokeni care apasă pe calendar
Un detaliu de context dă greutate suplimentară scepticilor. Atacul s-a produs cu puțin peste două săptămâni înainte de prima deblocare majoră de tokeni din istoria proiectului. Potrivit calendarului publicat de Tokenomist (https://tokenomist.ai/humanity), 266,5 milioane de tokeni H urmează să devină disponibili pentru echipă și pentru investitorii timpurii.
Asemenea momente măresc brusc oferta de pe piață și pun presiune pe preț chiar și în condiții normale. Un token care ajunge la deblocare deja prăbușit cu 90% schimbă complet calculul. Pentru cei înclinați spre scenarii întunecate, succesiunea evenimentelor ridică inevitabil întrebarea cui i-ar fi folosit o piață devastată chiar înainte ca propriii tokeni să devină vandabili. Datele publice nu permit, deocamdată, o concluzie fermă în niciuna dintre direcții.
Nici istoricul proiectului nu ajută. SpecterAnalyst publicase încă de anul trecut o analiză critică a echipei de conducere, semnalând trecuturi profesionale discutabile și probleme la distribuția tokenului încă de la lansarea din iunie 2025. Luate separat, aceste elemente nu dovedesc nimic în legătură cu atacul. Puse cap la cap, explică de ce comunitatea a primit comunicatele oficiale cu atât de puțină bunăvoință. Încrederea se construiește în ani și se pierde într-o singură tranzacție.
Aceeași greșeală, alte nume
Pentru cine urmărește constant analizele semnate de Mihai Popa pe Cryptology.ro, sursa în limba română unde cititorii găsesc zilnic știri de securitate blockchain și materiale despre evoluție criptomonede, tiparul este dureros de familiar. Industria a mai plătit scump pentru chei private prost gestionate, de la Ronin în 2022, cu pierderi de circa 625 de milioane de dolari, până la Multichain în 2023 și Bybit în februarie 2025.
Criptografia cedează rar. Cedează, aproape de fiecare dată, stratul uman din jurul ei, prin dispozitive neprotejate, chei concentrate în prea puține mâini și proceduri de urgență care nu au fost exersate niciodată.
Repere pentru deținători și pentru restul pieței
Pentru posesorii de tokeni H, consecințele sunt directe și dureroase. O parte și-au pierdut fondurile fără să fi semnat nimic, ceilalți au rămas cu un activ care valorează o fracțiune din prețul de săptămâna trecută. Planul de recuperare și recompensa de 1 milion de USDT oferă o speranță, însă istoria recuperărilor în cripto recomandă așteptări moderate.
Pentru toți ceilalți, episodul lasă câteva repere practice. Înainte de a investi, întrebarea cu adevărat utilă privește mai puțin promisiunile tehnologiei și mai mult cine controlează infrastructura critică, pe ce dispozitive și după ce proceduri. Un proiect serios publică structura multisigurilor sale și numărul semnatarilor independenți.
Tăcerea pe aceste subiecte este, în sine, o informație. Riscul nu vine doar dinspre contracte, ci și dinspre dispozitivele de zi cu zi, așa cum a arătat și avertismentul Google privind cele peste 200 de milioane de portofele crypto expuse pe iPhone. Cât despre raliurile de sute de procente apărute fără catalizator identificabil, în tokeni cu lichiditate redusă, ele se termină prost suficient de des încât prudența să fie regulă, nu opțiune.
Humanity Protocol intră acum într-o cursă pe trei fronturi, recuperarea fondurilor, gestionarea deblocării din a doua jumătate a lunii iunie și reconstrucția unei credibilități grav avariate. Un proiect construit ca să verifice dacă ești om a fost îngenuncheat de cea mai omenească vulnerabilitate cu putință, un calculator insuficient protejat și prea multă putere adunată într-un singur loc.
Până când disciplina operațională a echipelor va ajunge din urmă ambițiile lor de marketing, astfel de povești vor continua să apară, cu alte nume și cu aceleași cifre dureroase.
