Мультисиг на одном ноутбуке: как Humanity потерял $36 млн

Последнее обновление: 2026/06/09

Что произошло

8 июня протокол цифровой идентичности Humanity Protocol потерял более $36 млн в токенах H: атакующий перехватил контроль над мостами проекта сразу в двух сетях — Ethereum и BNB Chain. Причиной стал не взлом смарт-контракта, а скомпрометированный ноутбук сотрудника, на котором хранилось слишком много ключей мультиподписи.

Что произошло
Детали
Что это значит

Детали

По данным CoinDesk и Decrypt, ноутбук содержал 3 из 6 ключей администратора моста в Ethereum и 3 из 5 — в BNB Chain. Этого хватило, чтобы в обеих сетях перешагнуть порог мультиподписи, хотя сама схема мультисига должна разносить ключи между разными людьми и устройствами.

Дальше атакующий переписал владельца моста на свой кошелёк, подменил код моста на вредоносный и в одной транзакции вывел около 141 млн H в Ethereum, а в BNB Chain через функцию безлимитного выпуска отчеканил себе ещё около 200 млн новых токенов. Цена H рухнула с предвзломных ~$0,67 до примерно $0,05 на внутридневном дне (более −90%), затем отскочила к ~$0,20.

Основатель проекта Теренс Квок заявил, что команда настраивала мультисиг на четырёх человек, но «часть ключей при настройке случайно сохранилась на скомпрометированном устройстве». Проект остановил ввод и вывод на затронутых мостах и работает с биржами и полицией. Humanity Protocol поддержан фондами Pantera Capital и Jump Crypto — годом ранее он привлёк $20 млн при оценке $1,1 млрд.

Что это значит

Главный урок — деньги забрали не из-за дыры в коде, а из-за базовой ошибки в хранении ключей. Мультиподпись защищает ровно настолько, насколько ключи реально разнесены: как только большинство из них оказывается на одном устройстве, схема превращается в обычный одиночный кошелёк. Это повторяющийся сценарий 2026 года — крупнейшие потери всё чаще приходят через компрометацию ключей и операционную безопасность команды, а не через эксплойт контракта.

Отдельная ирония: Humanity Protocol строит систему «доказательства человечности» против ботов и сивил-атак — и сам пал жертвой элементарной атаки на сотрудника. Для пользователя риск админ-ключей моста невидим, но реален: он целиком зависит от дисциплины команды. Прежде чем держать средства в мостовых или стейкинговых контрактах небольшого проекта, стоит смотреть, кто и как управляет ключами, — аппаратная изоляция и реальное распределение подписантов важнее громких имён инвесторов.

ТЕГИ:bnb-chain bridges ethereum humanity-protocol security

ИСТОЧНИКИ:CoinDesk Decrypt Cointelegraph

ByVolodymyr Polkovnichenko

Связаться:

Крипто- и data-аналитик, инженер-программист (факультет компьютерных наук ХНУРЭ). В IT с 2008 года: администрировал корпоративный мониторинг в «Vodafone Украина», семь лет разрабатывал и продвигал веб-проекты, пять лет руководил маркетингом на метриках — конверсия, CTR, ROI, LTV.Криптовалютными рынками занимаюсь с 2021 года: ончейн-метрики, токеномика, макроэкономические индикаторы. Разработал собственную data-driven модель анализа рынка на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математическая статистика и EDA; сбор и сверку данных автоматизирую AI-агентами.Принцип — «Don't trust, verify»: каждая цифра проверена по первоисточнику, ключевые — минимум по двум независимым; прогнозы — только сценарии с условиями. Тезис без данных не публикуется.