Мультисиг на одному ноутбуці: як Humanity втратив $36 млн

Останнє оновлення: 2026/06/09

Що сталося

8 червня протокол цифрової ідентичності Humanity Protocol втратив понад $36 млн у токенах H: зловмисник перехопив контроль над мостами проєкту одразу в двох мережах — Ethereum і BNB Chain. Причиною став не злам смартконтракту, а скомпрометований ноутбук співробітника, на якому зберігалося надто багато ключів мультипідпису.

Що сталося
Деталі
Що це означає

Деталі

За даними CoinDesk і Decrypt, ноутбук містив 3 із 6 ключів адміністратора мосту в Ethereum і 3 із 5 — у BNB Chain. Цього вистачило, щоб у обох мережах переступити поріг мультипідпису, хоча сама схема мультисигу має розносити ключі між різними людьми та пристроями.

Далі зловмисник переписав власника мосту на свій гаманець, підмінив код мосту на шкідливий і однією транзакцією вивів близько 141 млн H в Ethereum, а в BNB Chain через функцію безлімітного випуску викарбував собі ще близько 200 млн нових токенів. Ціна H обвалилася з передзламних ~$0,67 до приблизно $0,05 на внутрішньоденному дні (понад −90%), потім відскочила до ~$0,20.

Засновник проєкту Теренс Квок заявив, що команда налаштовувала мультисиг на чотирьох осіб, але «частина ключів під час налаштування випадково збереглася на скомпрометованому пристрої». Проєкт зупинив введення й виведення на постраждалих мостах і працює з біржами та поліцією. Humanity Protocol підтримують фонди Pantera Capital і Jump Crypto — роком раніше він залучив $20 млн за оцінки $1,1 млрд.

Що це означає

Головний урок — гроші забрали не через діру в коді, а через базову помилку у зберіганні ключів. Мультипідпис захищає рівно настільки, наскільки ключі реально рознесені: щойно більшість із них опиняється на одному пристрої, схема перетворюється на звичайний одиночний гаманець. Це повторюваний сценарій 2026 року — найбільші втрати дедалі частіше приходять через компрометацію ключів і операційну безпеку команди, а не через експлойт контракту.

Окрема іронія: Humanity Protocol будує систему «доказу людяності» проти ботів і сивіл-атак — і сам став жертвою елементарної атаки на співробітника. Для користувача ризик адмін-ключів мосту невидимий, але реальний: він цілком залежить від дисципліни команди. Перш ніж тримати кошти в мостових або стейкінгових контрактах невеликого проєкту, варто дивитися, хто і як керує ключами, — апаратна ізоляція й реальний розподіл підписантів важливіші за гучні імена інвесторів.

TAGGED:bnb-chain bridges ethereum humanity-protocol security

SOURCES:CoinDesk Decrypt Cointelegraph

Поділитися цією статтею

ByVolodymyr Polkovnichenko

Зв'язатися:

Крипто-аналітик, Data-аналітик і розробник з 17-річним досвідом у IT. Спеціалізація — інженер-програміст.Мій підхід до ринку ґрунтується виключно на цифрах і верифікованих даних. Я використовую Python (pandas, numpy, scipy, matplotlib), математичну статистику та розвідувальний аналіз даних (EDA) для дослідження ончейн-метрик, макроекономічних індикаторів і токеноміки проектів.Інвестую на основі власної data-driven моделі, що враховує понад 30 метрик.Автоматизую дослідження за допомогою AI-агентів і власних скриптів.