Compromission de clé privée de Humanity Protocol
Une clé compromise de la Humanity Foundation a permis de vider des wallets et de frapper 100 M de tokens H sur BNB Chain, dérobant environ 32 M$ et faisant chuter $H de près de 90 %.
- Date
- Victime
- Humanity Protocol
- Chaîne(s)
- Statut
- Fonds dérobés
Le 9 juin 2026, Humanity Protocol — un projet d'identité décentralisée utilisant la biométrie des veines de la paume et des preuves à divulgation nulle de connaissance pour la vérification « Proof of Humanity » — a été drainé d'environ 32 millions de dollars après la compromission de clés privées appartenant à un membre de la Humanity Foundation. L'attaquant a vidé au moins 17 wallets et frappé 100 millions de nouveaux tokens H sur BNB Chain, faisant chuter le cours de $H de près de 90 % en quelques heures.
Ce qui s'est passé
L'équipe a attribué l'incident à une compromission de clé privée plutôt qu'à une faille de contrat intelligent. Selon les analystes on-chain, l'attaquant a vidé les wallets affectés puis a fait monter l'attaque en prenant le contrôle du proxy admin du token H sur BNB Chain, frappant 100 000 000 H supplémentaires (d'une valeur d'environ 12,9 millions de dollars à l'époque) vers un wallet nouvellement créé. Les produits ont été liquidés rapidement : environ 23,7 millions de dollars ont été échangés contre de l'ETH, tandis que près de 7,9 millions de dollars restaient en H, la pression vendeuse continue faisant glisser le token d'environ 0,72 à près de 0,10 dollar. La signature du contrôle de l'autorité de frappe rappelle les incidents TesseraDAO et Ankr / Helio, où des clés privilégiées compromises ont permis à un attaquant d'imprimer et d'écouler l'offre plus vite que les défenseurs ne pouvaient réagir.
Conséquences
Humanity Protocol a publiquement reconnu la brèche et déclaré enquêter, l'incident survenant quelques semaines à peine avant un déverrouillage de tokens prévu le 25 juin. Aucun fonds n'avait été récupéré dans l'immédiat. Notamment, l'enquêteur on-chain ZachXBT a mis en doute l'explication officielle, qualifiant l'événement de « possiblement mis en scène » et suggérant qu'il pourrait s'agir d'une sortie planifiée impliquant l'équipe ou un market maker associé plutôt que d'une attaque externe — en pointant la concentration de l'offre et la nature du déversement sur DEX. À l'heure de la publication, il n'était pas établi de manière concluante si la perte provenait d'une compromission externe ou d'une opération interne.
Pourquoi c'est important
Le cas Humanity Protocol confirme un thème récurrent du catalogue : l'autorité de frappe et les clés de proxy admin d'un token sont son privilège le plus dangereux, et aucune logique de contrat, aussi bien auditée soit-elle, ne protège les détenteurs une fois ces clés tombées entre des mains hostiles. Il met aussi en lumière la difficulté de l'attribution dans les incidents à clés privilégiées : lorsque les mêmes clés peuvent à la fois exploiter légitimement un protocole et le vider, la frontière entre un vol de clé privée externe et une sortie interne peut être réellement difficile à tracer à partir des seules données on-chain, laissant les détenteurs exposés quelle que soit l'intention.
Sources & preuves on-chain
- [01]coindesk.comhttps://www.coindesk.com/tech/2026/06/09/humanity-protocol-token-crashes-more-than-80-after-a-usd32-million-private-key-hack
- [02]theblock.cohttps://www.theblock.co/post/404053/humanity-protocol-exploit
- [03]cointelegraph.comhttps://cointelegraph.com/news/humanity-h-token-tanks-85-following-30m-private-key-compromise
- [04]coingape.comhttps://coingape.com/h-token-crashes-humanity-protocol-suffers-private-keys-hack/
- [05]cryptotimes.iohttps://www.cryptotimes.io/2026/06/09/zachxbt-calls-32m-humanity-protocol-hack-possibly-staged-h-crashes-86/