Мультисиг на одном ноутбуке: как Humanity потерял $36 млн

Последнее обновление: 2026/06/09

Что произошло

8 июня протокол цифровой идентичности Humanity Protocol потерял более $36 млн в токенах H: атакующий перехватил контроль над мостами проекта сразу в двух сетях — Ethereum и BNB Chain. Причиной стал не взлом смарт-контракта, а скомпрометированный ноутбук сотрудника, на котором хранилось слишком много ключей мультиподписи.

Что произошло
Детали
Что это значит

Детали

По данным CoinDesk и Decrypt, ноутбук содержал 3 из 6 ключей администратора моста в Ethereum и 3 из 5 — в BNB Chain. Этого хватило, чтобы в обеих сетях перешагнуть порог мультиподписи, хотя сама схема мультисига должна разносить ключи между разными людьми и устройствами.

Дальше атакующий переписал владельца моста на свой кошелёк, подменил код моста на вредоносный и в одной транзакции вывел около 141 млн H в Ethereum, а в BNB Chain через функцию безлимитного выпуска отчеканил себе ещё около 200 млн новых токенов. Цена H рухнула с предвзломных ~$0,67 до примерно $0,05 на внутридневном дне (более −90%), затем отскочила к ~$0,20.

Основатель проекта Теренс Квок заявил, что команда настраивала мультисиг на четырёх человек, но «часть ключей при настройке случайно сохранилась на скомпрометированном устройстве». Проект остановил ввод и вывод на затронутых мостах и работает с биржами и полицией. Humanity Protocol поддержан фондами Pantera Capital и Jump Crypto — годом ранее он привлёк $20 млн при оценке $1,1 млрд.

Что это значит

Главный урок — деньги забрали не из-за дыры в коде, а из-за базовой ошибки в хранении ключей. Мультиподпись защищает ровно настолько, насколько ключи реально разнесены: как только большинство из них оказывается на одном устройстве, схема превращается в обычный одиночный кошелёк. Это повторяющийся сценарий 2026 года — крупнейшие потери всё чаще приходят через компрометацию ключей и операционную безопасность команды, а не через эксплойт контракта.

Отдельная ирония: Humanity Protocol строит систему «доказательства человечности» против ботов и сивил-атак — и сам пал жертвой элементарной атаки на сотрудника. Для пользователя риск админ-ключей моста невидим, но реален: он целиком зависит от дисциплины команды. Прежде чем держать средства в мостовых или стейкинговых контрактах небольшого проекта, стоит смотреть, кто и как управляет ключами, — аппаратная изоляция и реальное распределение подписантов важнее громких имён инвесторов.

TAGGED:bnb-chain bridges ethereum humanity-protocol security

SOURCES:CoinDesk Decrypt Cointelegraph

Поделиться этой статьей

ByVolodymyr Polkovnichenko

Связаться:

Крипто-аналитик, Data-аналитик и разработчик с 17-летним опытом в IT. Специализация — инженер-программист.Мой подход к рынку основан исключительно на цифрах и верифицированных данных. Я использую Python (pandas, numpy, scipy, matplotlib), математическую статистику и разведочный анализ данных (EDA) для исследования ончейн-метрик, макроэкономических индикаторов и токеномики проектов.Инвестирую на основе собственной data-driven модели, учитывающей более 30 метрик.Автоматизирую исследования с помощью AI-агентов и собственных скриптов.