Compromiso de clave privada de Humanity Protocol
Una clave comprometida de la Humanity Foundation permitió vaciar wallets y acuñar 100M de tokens H en BNB Chain, sustrayendo unos $32M y hundiendo $H casi un 90%.
- Fecha
- Víctima
- Humanity Protocol
- Cadena(s)
- Estado
- Fondos robados
El 9 de junio de 2026, Humanity Protocol —un proyecto de identidad descentralizada que usa biometría de venas de la palma y pruebas de conocimiento cero para la verificación "Proof of Humanity"— fue drenado por aproximadamente 32 millones de dólares tras la compromisión de claves privadas pertenecientes a un miembro de la Humanity Foundation. El atacante vació al menos 17 wallets y acuñó 100 millones de tokens H nuevos en BNB Chain, hundiendo el precio de $H casi un 90% en cuestión de horas.
Qué ocurrió
El equipo atribuyó el incidente a una compromisión de clave privada y no a un fallo de contrato inteligente. Según analistas on-chain, el atacante vació las wallets afectadas y luego escaló tomando el control del proxy admin del token H en BNB Chain, acuñando 100.000.000 H adicionales (con un valor aproximado de 12,9 millones de dólares en ese momento) en una wallet recién creada. Las ganancias se liquidaron con rapidez: unos 23,7 millones de dólares se cambiaron por ETH, mientras que cerca de 7,9 millones permanecían en H y la presión vendedora continua arrastraba el token desde unos 0,72 hasta cerca de 0,10 dólares. La firma del control de la autoridad de acuñación recuerda a los incidentes de TesseraDAO y Ankr / Helio, donde claves privilegiadas comprometidas permitieron a un atacante imprimir y volcar suministro más rápido de lo que los defensores podían reaccionar.
Consecuencias
Humanity Protocol reconoció públicamente la brecha y dijo estar investigando, con el incidente cayendo apenas unas semanas antes de un desbloqueo de tokens programado para el 25 de junio. No se habían recuperado fondos en el momento inmediatamente posterior. Cabe destacar que el investigador on-chain ZachXBT cuestionó la explicación oficial, calificando el suceso de "posiblemente montado" y sugiriendo que podría tratarse de una salida planeada con participación del equipo o de un creador de mercado asociado, más que de un ataque externo —apuntando a la concentración del suministro y a la naturaleza del volcado en DEX—. Al momento de la información, no estaba establecido de forma concluyente si la pérdida provenía de una compromisión externa o de una operación interna.
Por qué importa
El caso de Humanity Protocol refuerza un tema recurrente del catálogo: la autoridad de acuñación y las claves de proxy admin de un token son su privilegio más peligroso, y ninguna lógica de contrato por bien auditada que esté protege a los holders una vez que esas claves caen en manos hostiles. También subraya la dificultad de la atribución en incidentes con claves privilegiadas: cuando las mismas claves pueden tanto operar legítimamente un protocolo como vaciarlo, la línea entre un robo de clave privada externo y una salida interna puede ser genuinamente difícil de trazar solo con datos on-chain, dejando a los holders expuestos sin importar la intención.
Fuentes y evidencia on-chain
- [01]coindesk.comhttps://www.coindesk.com/tech/2026/06/09/humanity-protocol-token-crashes-more-than-80-after-a-usd32-million-private-key-hack
- [02]theblock.cohttps://www.theblock.co/post/404053/humanity-protocol-exploit
- [03]cointelegraph.comhttps://cointelegraph.com/news/humanity-h-token-tanks-85-following-30m-private-key-compromise
- [04]coingape.comhttps://coingape.com/h-token-crashes-humanity-protocol-suffers-private-keys-hack/
- [05]cryptotimes.iohttps://www.cryptotimes.io/2026/06/09/zachxbt-calls-32m-humanity-protocol-hack-possibly-staged-h-crashes-86/