- Hacker drenou US$ 36 milhões em tokens H da Humanity Protocol
- Ataque começou com laptop de funcionário comprometido pelo invasor
- Token H caiu mais de 90% e ponte foi suspensa após exploit
A Humanity Protocol confirmou nesta terça-feira (9) que perdeu mais de US$ 36 milhões em tokens H após um ataque coordenado que comprometeu chaves administrativas de sua infraestrutura de ponte entre Ethereum e BNB Smart Chain. O incidente derrubou o token nativo em mais de 90% e expõe novamente a fragilidade da camada de gestão de pontes cross-chain em projetos de identidade digital.
Segundo o relatório de incidente publicado pelo projeto, tudo começou com o laptop de um funcionário invadido pelo atacante. A partir desse ponto de entrada, o criminoso obteve acesso a chaves privadas pertencentes a um membro da Humanity Foundation, alcançando os controladores das pontes administradas via cofres Gnosis Safe.
Como as pontes foram tomadas
Na rede Ethereum, três das seis chaves de proprietários do Gnosis Safe que controlavam o ProxyAdmin da ponte Hyperlane foram comprometidas. Com esse quórum, o atacante transferiu a propriedade do contrato para uma carteira sob seu controle, atualizou a ponte para uma implementação maliciosa e moveu cerca de 141,2 milhões de tokens H em uma única transação.
O roteiro foi replicado na BNB Smart Chain. Lá, três das cinco chaves do Safe caíram nas mãos do invasor, que assumiu o ProxyAdmin da ponte local. Em vez de apenas drenar reservas, o atacante implantou um contrato com função de cunhagem ilimitada e emitiu 200 milhões de tokens H em duas transações separadas, inflando artificialmente a oferta circulante.
O analista on-chain Specter foi um dos primeiros a sinalizar o ataque, identificando mais de 17 carteiras drenadas que interagiam com a Humanity Protocol. As estimativas iniciais apontavam perdas próximas a US$ 19 milhões, valor que escalou rapidamente conforme novos contratos eram explorados. Parte dos tokens roubados já foi convertida em ETH — segundo monitoramento da Blockaid e da Specter, cerca de US$ 23,7 milhões foram trocados por Ether, enquanto o restante segue em H ainda não liquidado. O comunicado oficial do projeto admite que a investigação segue em curso.
Padrão de exploit em pontes se repete em 2026
O caso da Humanity Protocol se soma a uma série de ataques em pontes cross-chain que dominam o ranking de prejuízos do setor desde 2022. A receita técnica é praticamente idêntica à vista em casos como Ronin, Harmony e Nomad: comprometimento de chaves multisig com quórum baixo demais para o volume de fundos custodiados. Seis assinantes com gatilho em três — ou cinco em três, no caso da BNB Chain — é considerado pela indústria de auditoria um limite frágil para contratos que movimentam centenas de milhões.
Para o investidor brasileiro exposto a projetos de identidade digital e zero-knowledge, o episódio reforça um ponto sensível: o risco operacional de uma corretora ou protocolo nem sempre está no código auditado, mas no perímetro humano. Senhas, dispositivos pessoais e processos internos de gestão de chaves continuam sendo o elo mais explorado. Esse mesmo tipo de falha já levou à interrupção de operações em exchanges locais nos últimos anos.
Token H derrete 90% e equipe aciona polícia
O preço do token H derreteu mais de 90% logo após o exploit, com queda de 69% nas últimas 24 horas e recuo de 72% na janela semanal, segundo dados de mercado. O ativo agora é negociado próximo de US$ 0,21, com volume de US$ 451 milhões e capitalização de US$ 393 milhões.
A equipe da Humanity Protocol suspendeu depósitos e saques nas pontes afetadas e diz coordenar a resposta com exchanges parceiras e autoridades policiais. O CEO Terence Kwok afirmou que especialistas em segurança foram acionados, mas até agora nenhum plano de reembolso ou compensação para detentores do token foi anunciado.
A Humanity opera uma rede de identidade baseada em zkEVM que combina provas de conhecimento zero e biometria de palma. O modelo evita armazenar dados pessoais em bases centralizadas, mas, como o exploit demonstrou, transfere o ponto de falha para a camada de governança das pontes. Um relatório completo de post-mortem foi prometido pela equipe após o avanço da apuração — enquanto isso, parte dos US$ 23,7 milhões já convertidos em ETH permanece em carteiras sob controle do atacante, sem sinal de devolução.
