9 июня 2026 года злоумышленники завладели приватными ключами одного из участников Humanity Foundation, после чего опустошили как минимум 17 кошельков проекта и похитили активы на сумму более $32 млн. Но на этом не остановились — они воспользовались ещё одной возможностью, которую давали скомпрометированные права: начали выпускать новые токены буквально из воздуха.
Введение
Humanity Protocol — блокчейн-проект с собственным токеном H, работающий в сетях Ethereum и BNB Chain. 9 июня 2026 года основатель проекта Терренс Квок подтвердил: причиной атаки стала компрометация ключей одного из участников Humanity Foundation. Ошибок в коде смарт-контрактов не было — подвёл человеческий фактор.
Ход инцидента
Злоумышленники действовали в два этапа.
1️⃣ Кража средств с кошельков. Получив приватные ключи — это аналог пароля, дающего полный доступ к кошельку, — атакующие опустошили как минимум 17 адресов проекта. Суммарный ущерб на этом этапе составил более $32 млн.
2️⃣ Выпуск новых токенов. Скомпрометированные ключи давали не только доступ к готовым средствам, но и административные права над токеном H в сети BNB Chain. Это означало возможность выпускать новые токены в любом количестве. Злоумышленник воспользовался этим и дополнительно создал около 132,5 млрд токенов H — и сразу начал их продавать.
Резкий рост предложения токена при одновременной массовой продаже обрушил его цену. H упал примерно с $0,67 до $0,13, в моменте опускаясь до $0,05. За один день токен потерял около 90% стоимости.
Почему это стало возможным
Приватный ключ в блокчейне — это единственное доказательство права собственности. Нет пароля для восстановления, нет службы поддержки, нет кнопки «отменить». Тот, у кого есть ключ, — тот и владелец.
В данном случае у одного из участников Humanity Foundation были скомпрометированы ключи сразу от нескольких кошельков проекта. Хуже того, эти же права включали административный контроль над токеном H в сети BNB Chain — то есть возможность не просто тратить существующие средства, но и эмитировать новые токены в неограниченном количестве.
Именно сочетание этих двух факторов — доступ к готовым средствам и право выпускать новые токены — привело к двойному удару: прямому хищению и обвалу курса.
Детали расследования: движение средств
Сеть BNB Chain
Злоумышленник сминтил — то есть выпустил — 132,5 млрд токенов H на адрес:
0x6Aa22CB8420E94Fc2119364b4c7885710aE753bB
После этого токены были направлены на несколько децентрализованных бирж — платформ, где торговля происходит напрямую между кошельками без посредников: Symbiosis Finance, BnbSettler, Kyber Network и ряд других. Там злоумышленник обменивал токены H на другие активы.
Сеть Ethereum
Похищенные средства поступали на несколько промежуточных адресов:
0x456Cb73b35022E4B524e5510807776453d984AeF0xee4b6b8967aa947ac3aef540ee07ea6099c566f7 0x4dD6288307661BBf0B1785B531dbAd3fac8c909D 0xd1ea823d421e0c829ee11f772af487fd352678ea 0x1dfe5cf3ed5a0ac82fdd0bfcdac7b6c6323f844a 0x9e995952eF7665B243eeEF0693acD7FEd7150504 0xaf2a4989922299eb14a29e332dad1012a8aad3a0
Затем средства были консолидированы на двух крупных адресах:
— 0x36560d6aC2004e1BB483e77b791E905dd4F5E672 около 7 000 ETH
— 0x59Eff548CD9BcfBc169B6340f734e442c764A814 около 5 400 ETH
На момент расследования средства на этих адресах остаются без движения.
Заключение
Этот инцидент — наглядный пример того, как одна точка уязвимости может разрушить сразу несколько уровней защиты. Компрометация ключей одного человека дала атакующим доступ к 17 кошелькам и праву на неограниченную эмиссию токенов.
Прямое хищение и искусственное раздувание предложения привели к падению курса H почти на 90% за один день — пострадали не только кошельки проекта, но и все держатели токена.
Команда «КоинКит» продолжает отслеживать движение средств на указанных адресах.
