Un miembro de la Humanity Foundation tuvo su laptop comprometida por malware, lo que expuso las claves privadas que controlaban los bridges del protocolo en Ethereum y BNB Chain.
En la madrugada del 9 de junio de 2026, Humanity Protocol sufrió uno de los peores incidentes de seguridad del año: atacantes drenaron más de 17 wallets vinculadas al proyecto y se llevaron más de $32 millones en tokens H. El token nativo del protocolo, que cotizaba alrededor de los $0,70 antes del ataque, se desplomó hasta mínimos de $0,05, una caída superior al 90% en pocas horas.
El fundador y CEO de Humanity Protocol, Terence Kwok, confirmó el incidente directamente en X: “Hemos detectado un incidente de seguridad que involucra el compromiso de claves privadas pertenecientes a un miembro de la Humanity Foundation. Como precaución, por favor no interactúen con el bridge ni con ningún pool de liquidez hasta que confirmemos que es seguro.”
¿Cómo se ejecutó el ataque de Humanity?
Según el comunicado oficial del equipo, la laptop de un empleado fue infectada con malware, lo que expuso las claves privadas de múltiples wallets y, más crítico aún, tres de las seis claves del Gnosis Safe que controlaban el ProxyAdmin del bridge de Hyperlane en Ethereum. Con esas credenciales, el atacante transfirió la propiedad del contrato ProxyAdmin y actualizó el bridge para extraer los fondos.
El analista onchain Specter fue el primero en documentar el ataque en tiempo real, identificando el vaciado sistemático de más de 17 wallets vinculadas al proyecto. Los fondos robados fueron convertidos rápidamente: aproximadamente 18.510 ETH valuados en $30,8 millones y 1.548 BNB adicionales fueron movidos hacia wallets nuevas a través de exchanges descentralizados como Kyber Network y PancakeSwap.
El atacante también mintó 100 millones de tokens H adicionales en BNB Chain, introduciendo una presión de venta adicional estimada en $11,4 millones sobre un mercado que ya estaba colapsando. Al cierre del día, aproximadamente 111 millones de H valuados en $14 millones permanecían en wallets controladas por el atacante, aunque la liquidez onchain estaba prácticamente agotada.
Una complicación adicional: ZachXBT señala irregularidades
El incidente no está exento de controversia. El investigador onchain ZachXBT, uno de los más seguidos del ecosistema, planteó que el equipo podría haber orquestado un “crime pump”, cuestionando la narrativa del hack externo. Según reportes, conversaciones internas sugerían que solo alrededor de 1 millón de los 9 millones de identidades registradas del protocolo habían completado la verificación biométrica, lo que añadía escepticismo previo sobre la solidez del proyecto.
El equipo de Humanity Protocol no ha respondido públicamente a estas alegaciones. La investigación sigue abierta.
El patrón de 2026: claves privadas, no código
Este ataque encaja en la tendencia dominante de seguridad cripto en 2026: los mayores robos del año no han ocurrido por bugs en contratos inteligentes sino por compromiso de claves privadas. Drift Protocol perdió aproximadamente $285 millones en abril tras el robo de una clave administrativa. KelpDAO perdió $292 millones el mismo mes. Las pérdidas por hacks en DeFi superaron los $1.000 millones en los primeros cuatro meses del año.
Otros proyectos comprometidos por este vector en 2026 incluyen Step Finance, Resolv, Volo Vault, Echo Bridge, Bankr, Polymarket, StablR, Stake DAO, Gravity Bridge y Aelphium Bridge. El patrón es siempre el mismo: el código resiste, pero la persona que sostiene las claves no.
La lección es repetida pero sigue sin aprenderse en muchos proyectos: la custodia de claves privadas con privilegios de administrador sobre bridges y contratos críticos no puede depender de una sola persona ni de una laptop conectada a internet. Los multisigs con umbrales altos, los Hardware Security Modules y los procedimientos operativos estrictos no son opcionales cuando se administra infraestructura con decenas de millones de dólares en exposición.