Un proiect care își spune „stratul de încredere al internetului” a pierdut, în mai puțin de o zi, exact lucrul pe care promitea să îl garanteze. Paguba directă, 36 de milioane de dolari.
Pe 8 iunie 2026, tokenul H al Humanity Protocol s-a prăbușit cu aproape 90%, după ce atacatori necunoscuți au golit portofelele a sute de utilizatori și au tipărit din senin sute de milioane de tokeni noi. Explicația oficială a echipei sună aproape banal. Un laptop compromis.
Un singur laptop, aparținând unui membru al Humanity Foundation, ar fi fost suficient pentru a deschide două seifuri digitale despre care toată lumea credea că au nevoie de mai multe chei, deținute de mai mulți oameni, pentru a fi deschise.
Povestea ar fi gravă chiar și dacă s-ar opri aici. Numai că nu se oprește. În orele și zilele care au urmat, unii dintre cei mai respectați investigatori și dezvoltatori din industria cripto au început să pună întrebări incomode despre mecanica atacului, despre momentul ales și despre felul în care echipa a gestionat criza.
Unele dintre aceste întrebări au primit răspunsuri parțiale. Altele plutesc în continuare deasupra proiectului, cu doar două săptămâni înainte de o deblocare masivă de tokeni rezervați echipei și investitorilor.
Ce s-a întâmplat pe 8 și 9 iunie?
Primul semnal de alarmă nu a venit de la echipa proiectului, ci de la un investigator on-chain care publică sub pseudonimul SpecterAnalyst. Acesta a atras atenția asupra unor transferuri suspecte de tokeni H în valoare de aproximativ 5 milioane de dolari, mișcări care nu semănau deloc cu activitatea obișnuită a pieței. În paralel, prețul tokenului a început să cedeze, iar firma de securitate blockchain PeckShield a confirmat curând amploarea dezastrului. H pierduse 89% din valoare.
Cifrele finale au depășit cu mult estimarea inițială. Potrivit PeckShield, atacatorii au extras în total tokeni în valoare de circa 30 de milioane de dolari, golind aproape 190 de milioane de tokeni H din peste 280 de portofele afectate. Ca și cum furtul direct nu ar fi fost suficient, două tranșe de câte 100 de milioane de tokeni H au fost emise din nimic pe BNB Chain, diluând și mai mult o piață aflată deja în cădere liberă.
Abia după ce panica se instalase, contul oficial al proiectului a confirmat public incidentul, descriindu-l drept o „breșă de securitate care implică compromiterea cheilor private aparținând unui membru al Humanity Foundation”. Utilizatorii au fost avertizați să evite orice interacțiune cu puntea blockchain (bridge) a proiectului și cu fondurile de lichiditate. Pentru mulți deținători, avertismentul a venit prea târziu. Tokenii lor dispăruseră deja din portofele, fără ca ei să fi semnat vreo tranzacție.
O actualizare oficială ulterioară a ridicat valoarea totală a pagubelor la 36 de milioane de dolari și a adus prima explicație tehnică detaliată. Laptopul unui angajat ar fi fost compromis, iar prin acel punct de acces atacatorii ar fi obținut trei dintre cele șase chei private care controlau contractul de punte al proiectului.
Cu acel control, au modificat contractul și au „măturat” aproximativ 141,2 milioane de tokeni H într-o singură tranzacție. Simultan, trei dintre cele cinci chei ale seifului de pe BNB Chain au fost și ele compromise, iar printr-un mecanism similar au fost emiși cei 200 de milioane de tokeni suplimentari.
Pe 10 iunie, echipa a publicat un raport post-mortem detaliat, a anunțat că lucrează la un plan de recuperare și a oferit o recompensă de 1 milion de USDT pentru informații care duc la recuperarea fondurilor. Gesturile sunt corecte la nivel de procedură. Întrebarea care rămâne este cum s-a ajuns aici.
Ce este un multisig și de ce ar fi trebuit să prevină dezastrul?
Pentru cititorii mai puțin familiarizați cu detaliile tehnice, o scurtă explicație a mecanismului aflat în centrul acestei povești lămurește tot restul. Un portofel multisig, prescurtare de la „multi-signature”, este un seif digital care nu poate fi deschis cu o singură cheie.
În loc de o parolă unică, el cere un număr minim de semnături din partea unui grup de deținători de chei. O configurație de tip 3 din 6 înseamnă că oricare trei dintre cele șase chei autorizate trebuie să semneze o tranzacție pentru ca aceasta să fie executată.
Logica din spatele acestui aranjament este simplă și sănătoasă. Dacă o cheie este furată, pierdută sau compromisă, fondurile rămân în siguranță, pentru că atacatorul are nevoie de încă două. Sistemul presupune însă o condiție pe care nimeni nu o scrie explicit în cod, dar de care depinde totul.
Cheile trebuie să fie distribuite între persoane diferite, pe dispozitive diferite, în locuri diferite. Un multisig în care trei chei stau pe același laptop nu mai este un multisig. Este o singură cheie cu trei nume.
Exact asta pare să se fi întâmplat la Humanity Protocol. Compromiterea unui singur dispozitiv a oferit atacatorilor pragul necesar de semnături atât pentru contractul de punte de pe Ethereum, unde configurația era 3 din 6, cât și pentru seiful de pe BNB Chain, unde pragul era 3 din 5. Două sisteme de securitate teoretic independente au căzut simultan, prin aceeași ușă.
Mikko Ohtamaa, cofondatorul platformei Trading Strategy, a rezumat situația cu o ironie pe care comunitatea a preluat-o imediat. Humanity Protocol este, la urma urmei, un protocol construit să garanteze că în spatele unei adrese blockchain se află un om real și unic, nu o colecție de identități false controlate de aceeași persoană.
Este exact tipul de atac, cunoscut sub numele de atac Sybil, pe care proiectul promite să îl elimine. Și totuși, în propriul multisig, trei dintre cele șase chei aparțineau aceluiași om. Echipa nu și-a aplicat propriul protocol propriei trezorerii.
Versiunea oficială și fisurile ei
Explicația cu laptopul compromis are avantajul simplității și dezavantajul că ridică imediat alte întrebări. Cum ajung trei chei private, care prin definiție ar trebui păstrate separat, pe un singur dispozitiv? De ce un membru al fundației avea acces simultan la praguri de semnătură pe două blockchainuri diferite? Și de ce procedurile interne nu au detectat nimic până când investigatorii independenți au început să publice alerte?
Dezvoltatorul cunoscut sub numele Banteg, una dintre figurile centrale ale proiectului Yearn Finance, s-a declarat de-a dreptul șocat că atacatorii au reușit să compromită trei chei private aparținând aceluiași membru al fundației. Observația lui cea mai incomodă a venit însă la analiza cronologiei.
În timp ce cheile portofelului de pe BNB Chain au fost înlocuite relativ repede după incident, portofelul de pe Ethereum a rămas compromis timp de cel puțin 14 ore. Pentru un proiect aflat în plină criză, cu fonduri care se scurgeau la vedere, o asemenea întârziere este greu de explicat prin simplă neglijență. Banteg a formulat concluzia cu prudență, dar fără menajamente. Ipoteza unei implicări din interior este plauzibilă.
Firma de securitate Beosin a mers pe un fir complementar. Analizând modificarea contractului care a permis atacul, cercetătorii au observat că noua versiune permitea transferul tokenilor H direct din portofelele victimelor, fără nicio aprobare din partea acestora. Acesta nu este comportamentul tipic al unui hoț care fuge cu ce găsește într-un seif.
Este o rescriere a regulilor jocului, de natură să ridice întrebarea dacă incidentul nu a fost, de fapt, un rug pull, adică o retragere deliberată orchestrată de cineva cu acces legitim la infrastructură.
ZachXBT și ipoteza unei ieșiri regizate
Niciun scandal cripto din ultimii ani nu pare complet fără intervenția lui ZachXBT, investigatorul independent ale cărui analize au dus la identificarea a zeci de escrocherii. Reacția lui la comunicatul inițial al Humanity Protocol a fost tăioasă. Într-o postare care a circulat intens, el a pus public la îndoială versiunea echipei, întrebând retoric de ce ar trebui utilizatorii să creadă orbește povestea oficială, după ceea ce el a numit un „crime pump” al tokenului H.
Referința nu era gratuită. La sfârșitul lunii mai, cu doar câteva săptămâni înainte de atac, tokenul H crescuse cu aproape 400% în mai puțin de cinci zile, o mișcare violentă pe care datele CoinGecko o arată limpede în graficul prețului și care alimentase încă de atunci suspiciuni de manipulare. Un activ care urcă vertiginos fără un catalizator clar și se prăbușește la scurt timp după aceea, în urma unui incident de securitate cu explicații șubrede, compune un tipar pe care investigatorii îl cunosc prea bine.
Într-o postare ulterioară, ZachXBT a mers și mai departe, descriind incidentul drept „posibil regizat” și sugerând că ar fi putut servi drept ieșire convenabilă pentru formatorul de piață al tokenului. Ca să fim corecți cu toate părțile, după o analiză suplimentară a felului în care fondurile furate erau spălate, investigatorul a revenit asupra acestei acuzații.
Tiparul de spălare a banilor nu se potrivea cu ipoteza unei operațiuni interne, cel puțin nu în forma pe care o avansase inițial. Retractarea contează și o consemnăm ca atare. La fel de mult contează însă faptul că un proiect cu pretenții de infrastructură a încrederii a ajuns în punctul în care asemenea acuzații păreau credibile pentru o parte semnificativă a industriei.
Un istoric care nu inspiră încredere
Suspiciunile din jurul Humanity Protocol nu s-au născut pe 8 iunie. SpecterAnalyst, același investigator care a semnalat primele transferuri suspecte, publicase încă de anul trecut o analiză critică a echipei de conducere, susținând că trei dintre cei patru lideri ai proiectului au trecuturi discutabile, cu episoade de management defectuos, procese sau nereguli financiare.
Aceeași sursă semnalase probleme legate de distribuția tokenului încă de la lansarea acestuia, în iunie 2025. Presa de investigație din industrie documentase, la rândul ei, faptul că firma condusă anterior de directorul executiv al proiectului a sfârșit în insolvență.
Niciunul dintre aceste elemente nu dovedește, luat separat, vreo vinovăție în legătură cu incidentul de acum. Împreună, ele explică însă de ce comunitatea a reacționat cu atât de puțină bunăvoință la comunicatele oficiale. Încrederea se construiește greu și se pierde într-o singură tranzacție de 141 de milioane de tokeni.
Deblocarea de tokeni care planează peste întreg tabloul
Un detaliu de calendar adaugă context suplimentar și, pentru sceptici, un posibil motiv. Incidentul s-a produs cu puțin peste două săptămâni înainte de prima deblocare majoră de tokeni din istoria proiectului. Potrivit calendarului publicat de Tokenomist, 266,5 milioane de tokeni H aflați în perioada de blocare urmează să devină disponibili pentru echipă și pentru investitorii timpurii.
Deblocările de acest tip sunt momente delicate pentru orice token. Ele măresc brusc oferta disponibilă pe piață și pun presiune pe preț, motiv pentru care proiectele serioase le pregătesc cu grijă, comunicând transparent și, uneori, negociind cu deținătorii mari perioade de vânzare etapizată. Un token care ajunge la momentul deblocării deja prăbușit cu 90% schimbă complet calculul.
Pentru cei care văd în incident un accident nefericit, deblocarea este doar o coincidență de calendar care agravează situația. Pentru cei înclinați spre scenarii mai întunecate, succesiunea evenimentelor ridică întrebarea cui i-ar fi folosit o piață devastată chiar înainte ca propriii tokeni să devină vandabili. Răspunsul nu este evident în niciuna dintre direcții, iar datele publice de până acum nu permit o concluzie fermă.
O industrie care repetă aceleași greșeli
Partea cu adevărat descurajantă a acestei povești este cât de familiară sună. Industria cripto a mai trecut prin dezastre cauzate de chei private prost gestionate, iar unele dintre ele au fost mult mai mari. Atacul asupra punții Ronin din 2022, soldat cu pierderi de aproximativ 625 de milioane de dolari, a fost posibil pentru că un număr suficient de chei de validare se afla, practic, sub controlul aceleiași organizații.
Prăbușirea Multichain din 2023 a scos la iveală faptul că infrastructura critică a protocolului depindea de chei aflate la dispoziția unui singur om. Iar atacul asupra Bybit din februarie 2025, cel mai mare furt din istoria criptomonedelor la acel moment, a demonstrat că până și giganții industriei pot fi îngenuncheați prin compromiterea procesului de semnare a tranzacțiilor.
Cititorii care urmăresc constant secțiunea de știri crypto au văzut acest tipar repetându-se cu o regularitate aproape didactică și în ultimele luni. Am scris recent despre un virus numit TrapDoor care fură portofele cripto direct din calculatoarele programatorilor, un vector de atac aproape identic cu cel invocat de Humanity Protocol, în care dispozitivul unui om tehnic devine poarta de intrare către fonduri care nu îi aparțin.
Am documentat atacul de 10 milioane de dolari asupra THORChain, care a declanșat un răspuns de urgență la nivelul întregii rețele, și exploitul de 3,2 milioane de dolari din jurul modulului SquidRouter, unde o componentă periferică a infrastructurii a fost suficientă pentru pagube serioase.
Lecția comună a tuturor acestor episoade este că tehnologia blockchain în sine cedează rareori. Criptografia rezistă. Ceea ce cedează, aproape de fiecare dată, este stratul uman și organizațional din jurul ei.
Parole reutilizate, laptopuri fără protecție adecvată, chei concentrate în prea puține mâini, proceduri de urgență care nu au fost niciodată exersate. Un lanț de custodie este exact atât de puternic cât cea mai obosită persoană din el, conectată la cel mai prost securizat dispozitiv.
Ce înseamnă asta pentru utilizatorii obișnuiți?
Pentru deținătorii de tokeni H, consecințele sunt directe și dureroase. O parte dintre ei și-au pierdut tokenii pur și simplu, extrași din portofele prin contractul modificat, fără nicio semnătură din partea lor. Ceilalți au rămas cu un activ care valorează o fracțiune din prețul de săptămâna trecută și cu o echipă a cărei credibilitate este, în cel mai bun caz, în reconstrucție.
Planul de recuperare anunțat și recompensa de 1 milion de USDT oferă o speranță, dar istoria recuperărilor de fonduri furate în cripto recomandă așteptări moderate. Sumele recuperate integral sunt excepția, nu regula.
Pentru toți ceilalți, episodul oferă câteva repere practice. Înainte de a investi într-un proiect, întrebarea cu adevărat utilă privește mai puțin ce promite tehnologia și mai mult cine controlează infrastructura critică, pe ce dispozitive și în ce condiții. Un proiect transparent publică structura multisigurilor sale, numele sau măcar numărul semnatarilor independenți și procedurile de răspuns la incidente.
Tăcerea pe aceste subiecte este, în sine, o informație. La fel de important, riscul nu vine întotdeauna dinspre contractele inteligente. Așa cum a arătat și avertismentul Google privind sutele de milioane de portofele crypto expuse pe iPhone, dispozitivele pe care le folosim zilnic sunt parte din suprafața de atac, atât pentru utilizatori, cât și pentru echipele care administrează proiecte de sute de milioane de dolari.
Mai există o lecție, mai subtilă, despre comportamentul prețurilor. Creșterea de aproape 400% a tokenului H de la sfârșitul lunii mai a atras cumpărători exact în vârful unei mișcări pe care investigatorii o priveau deja cu suspiciune. Raliurile violente, fără catalizator identificabil, în tokeni cu lichiditate redusă și distribuție concentrată, se termină prost suficient de des încât prudența să fie justificată din principiu.
Cazul prăbușirii stablecoinului USR de la Resolv Labs, despre care am scris în martie, a arătat cât de repede se poate evapora valoarea atunci când un exploit lovește un activ pe care piața îl considera stabil.
Ce urmează pentru Humanity Protocol?
Echipa proiectului se află acum într-o cursă pe trei fronturi simultan. Trebuie să recupereze ce se mai poate recupera din fondurile furate, să gestioneze deblocarea de tokeni din a doua jumătate a lunii iunie fără a provoca o nouă prăbușire și, cel mai greu dintre toate, să convingă o comunitate rănită că versiunea oficială a evenimentelor este completă și onestă.
Raportul post-mortem și recompensa anunțată sunt primii pași într-o direcție corectă. Vor urma, aproape sigur, presiuni pentru un audit extern independent al întregii infrastructuri de chei și pentru o restructurare vizibilă a guvernanței multisigurilor.
Pentru restul industriei, Humanity Protocol devine un studiu de caz cu o morală incomodă. Un proiect evaluat la sute de milioane de dolari, construit în jurul ideii de identitate verificabilă și încredere demonstrabilă, a fost adus în genunchi de cea mai veche vulnerabilitate din informatică, un calculator insuficient protejat și prea multă putere concentrată într-un singur loc.
Tehnologia care verifică dacă ești om nu te apără de greșelile cât se poate de omenești ale celor care o administrează. Iar până când disciplina operațională a echipelor va ajunge din urmă ambițiile lor de marketing, povești ca aceasta vor continua să apară, cu alte nume, alte cifre și aceeași concluzie.
Intrebari Frecvente(FAQ)
Pe 8 iunie 2026, atacatori au obținut controlul asupra a două portofele multisig ale proiectului și au furat tokeni H în valoare de 36 de milioane de dolari, golind peste 280 de portofele de utilizatori și emițând 200 de milioane de tokeni noi pe BNB Chain. Prețul tokenului H s-a prăbușit cu aproximativ 89% în urma incidentului.
Conform explicației oficiale, laptopul unui angajat al Humanity Foundation a fost compromis, iar pe acel dispozitiv se aflau trei chei private care controlau atât contractul de punte de pe Ethereum, configurat 3 din 6, cât și seiful de pe BNB Chain, configurat 3 din 5. Concentrarea mai multor chei la aceeași persoană a anulat practic protecția oferită de multisig.
Suspiciunile pornesc de la mai multe elemente. Tokenul H crescuse cu aproape 400% în mai puțin de cinci zile la sfârșitul lunii mai, contractul modificat permitea extragerea tokenilor direct din portofelele victimelor, portofelul de pe Ethereum a rămas compromis cel puțin 14 ore după incident, iar atacul a avut loc cu două săptămâni înainte de o deblocare de 266,5 milioane de tokeni pentru echipă și investitori. ZachXBT a numit inițial incidentul posibil regizat, dar a revenit asupra acuzației după analiza tiparului de spălare a fondurilor.
Un multisig este un portofel care cere un număr minim de semnături din partea unor deținători diferiți de chei pentru a executa o tranzacție, de exemplu 3 din 6. Protecția funcționează doar dacă cheile sunt distribuite între persoane și dispozitive diferite. La Humanity Protocol, trei chei se aflau la aceeași persoană, pe același laptop, astfel încât compromiterea unui singur dispozitiv a fost suficientă.
Echipa a anunțat un plan de recuperare și o recompensă de 1 milion de USDT pentru informații care duc la recuperarea fondurilor. Istoric, recuperările integrale după astfel de atacuri sunt rare, deși există cazuri în care o parte din fonduri a fost returnată sau înghețată pe platformele de schimb.
