Ataque de $36M a Humanity Protocol: un portátil comprometido permitió el robo de tokens H en Ethereum y BNB Chain

La violación de seguridad, que afectó a puentes entre cadenas, se originó por la copia de seguridad accidental de claves multisig en un dispositivo infectado. La investigación en cadena sugiere una operación coordinada y no un ataque oportunista.

Humanity Protocol sufrió un ataque que resultó en el robo de más de 36 millones de dólares en tokens H. Los atacantes comprometieron un portátil de un empleado, lo que les permitió acceder a tres de las seis claves de una billetera multisig Gnosis Safe. Tras tomar el control de los puentes en Ethereum y BNB Chain, drenaron tokens y mintearon unidades ilimitadas, provocando que el token H colapsara más de un 85%.

Una copia de seguridad accidental desencadenó la crisis

El fundador de Humanity, Terence Kwok, explicó a Cointelegraph que el proyecto tenía controles multisig distribuidos entre cuatro personas. Sin embargo, algunas claves privadas fueron «respaldadas accidentalmente en un dispositivo comprometido» durante la fase de configuración.

Aunque Humanity utiliza un custodio con licencia para la mayor parte de su tesorería y computación multiparte (MPC) para la tesorería operativa, «para ciertos contratos, las claves multisig se configuraron en un solo lugar y luego se dispersaron», dejando copias inseguras.

El incidente demuestra cómo un solo endpoint comprometido puede convertirse en una crisis a nivel de protocolo cuando las autoridades están concentradas en un número reducido de claves.

La mecánica del ataque en dos cadenas

El ataque se ejecutó simultáneamente en dos blockchains. En Ethereum, los atacantes drenaron aproximadamente 141,2 millones de tokens H de los puentes. En BNB Chain, añadieron una función maliciosa a los contratos del puente para mintear tokens ilimitados, creando 200 millones de tokens H directamente en su propia billetera.

Como medida de respuesta, Humanity detuvo los depósitos y retiros en los puentes afectados y está colaborando con exchanges para mitigar daños y explorar opciones de recuperación.

El colapso del token H y la advertencia a la comunidad

El token H de Humanity Protocol cayó más de un 85% tras la revelación del ataque. Kwok advirtió a los usuarios que no interactuaran con los puentes ni con los pools de liquidez.

Surgieron dudas iniciales sobre si el ataque era una brecha externa genuina o si estaba relacionado con actividad inusual del token antes de un desbloqueo programado. El reconocido investigador en blockchain ZachXBT cuestionó inicialmente si la actividad del market maker y las ventas OTC estaban conectadas al exploit. Tras un análisis más profundo, concluyó que dicha actividad parecía ser independiente de la filtración de la clave privada.

«El patrón en cadena es ambiguo»: la dificultad de distinguir un ataque real de uno escenificado

Hakan Unal, responsable senior de operaciones de seguridad en Cyvers, señaló que en ambos casos —compromiso real o evento escenificado— el atacante posee derechos de administración legítimos, por lo que el patrón en cadena puede parecer similar al principio.

Según Unal, un ataque genuino muestra velocidad e improvisación: fondos movidos rápidamente a billeteras nuevas, swaps a malos precios, uso de mezcladores y ausencia de sincronización interna. En cambio, un evento escenificado puede mostrar un timing sospechoso cerca de unlocks o vesting, suministro concentrado, movimiento ordenado o fondos que eventualmente se redirigen a direcciones vinculadas al equipo o market makers.

«Ahora mismo la evidencia es mixta, por lo que la pregunta sigue abierta», concluyó Unal.

Un investigador sospecha de una «operación coordinada»

Elton Shehdula, jefe de investigación de Allium Labs, afirmó que el patrón en cadena apunta a una operación potencialmente planificada y coordinada, no a un oportunista solitario.

Shehdula presentó varias evidencias: las billeteras del atacante se financiaron desde un exchange y un mezclador semanas antes del ataque; la autoridad de minteo se «calentó» días antes del exploit; y la venta masiva ocurrió simultáneamente en ambas cadenas, Ethereum y BNB Chain.

«El nivel de preparación y acceso es consistente con un ‘insider’ o un actor externo que había mantenido la clave comprometida en secreto durante algún tiempo», concluyó Shehdula.