Humanity atribuye un exploit de 36 millones de dólares a un portátil comprometido
Humanity Protocol dijo que un atacante robó más de 36 millones de dólares en tokens H tras comprometer un portátil de un empleado que contenía varias claves administrativas de sus puentes. El caso expone una falla básica en la custodia de claves de un sistema multisig que debía repartir el control entre dispositivos y personas distintas.
¿Qué pasó?
Humanity Protocol dijo que un atacante robó más de 36 millones de dólares en tokens H tras comprometer un portátil de un empleado que contenía varias claves administrativas de sus puentes. El caso expone una falla básica en la custodia de claves de un sistema multisig que debía repartir el control entre dispositivos y personas distintas.
¿Por qué importa?
El proyecto, que el año pasado recaudó 20 millones de dólares de Pantera Capital y Jump Crypto con una valoración de 1.100 millones de dólares, también enfrenta escrutinio por la negociación del token H antes y después del ataque. CoinDesk citó al investigador onchain ZachXBT, quien dijo que el compromiso de claves y una ronda separada de actividad sospechosa de market-making no estaban conectados.
Humanity Protocol explicó que el robo de más de 36 millones de dólares en tokens H comenzó con el compromiso del portátil de un empleado. Según una actualización compartida con CoinDesk, ese equipo almacenaba varias claves que controlaban los puentes del proyecto, usados para mover tokens entre blockchains.
El incidente importa porque golpea una de las promesas operativas de las billeteras multisig: reducir el riesgo de que un solo punto comprometido pueda controlar fondos o contratos críticos. En este caso, Humanity dijo que las claves estaban en un mismo dispositivo, lo que permitió al atacante superar los umbrales de aprobación en Ethereum y BNB Chain.
En Ethereum, el atacante obtuvo tres de las seis claves del administrador del puente, suficientes para tomar el control vinculado al despliegue del proyecto en esa red. Luego transfirió la propiedad a su propia billetera, reemplazó el código del puente por una versión maliciosa y drenó alrededor de 141 millones de H en una sola transacción.
En BNB Chain, el atacante ejecutó una maniobra similar con tres de cinco claves. Allí instaló código con una función de emisión ilimitada y creó cerca de 200 millones de nuevos tokens H directamente hacia su billetera, según el reporte.
El fundador de Humanity, Terence Kwok, dijo a CoinDesk que el equipo había configurado una multisig entre cuatro personas, pero que algunas claves pudieron haberse respaldado accidentalmente en un dispositivo comprometido durante la configuración. Humanity afirmó que detuvo los depósitos y retiros en los puentes afectados y que trabaja con exchanges y la policía para intentar recuperar fondos.
El proyecto, que el año pasado recaudó 20 millones de dólares de Pantera Capital y Jump Crypto con una valoración de 1.100 millones de dólares, también enfrenta escrutinio por la negociación del token H antes y después del ataque. CoinDesk citó al investigador onchain ZachXBT, quien dijo que el compromiso de claves y una ronda separada de actividad sospechosa de market-making no estaban conectados.