Мультисиг на одному ноутбуці: як Humanity втратив $36 млн

Останнє оновлення: 2026/06/09

Що сталося

8 червня протокол цифрової ідентичності Humanity Protocol втратив понад $36 млн у токенах H: зловмисник перехопив контроль над мостами проєкту одразу в двох мережах — Ethereum і BNB Chain. Причиною став не злам смартконтракту, а скомпрометований ноутбук співробітника, на якому зберігалося надто багато ключів мультипідпису.

Що сталося
Деталі
Що це означає

Деталі

За даними CoinDesk і Decrypt, ноутбук містив 3 із 6 ключів адміністратора мосту в Ethereum і 3 із 5 — у BNB Chain. Цього вистачило, щоб у обох мережах переступити поріг мультипідпису, хоча сама схема мультисигу має розносити ключі між різними людьми та пристроями.

Далі зловмисник переписав власника мосту на свій гаманець, підмінив код мосту на шкідливий і однією транзакцією вивів близько 141 млн H в Ethereum, а в BNB Chain через функцію безлімітного випуску викарбував собі ще близько 200 млн нових токенів. Ціна H обвалилася з передзламних ~$0,67 до приблизно $0,05 на внутрішньоденному дні (понад −90%), потім відскочила до ~$0,20.

Засновник проєкту Теренс Квок заявив, що команда налаштовувала мультисиг на чотирьох осіб, але «частина ключів під час налаштування випадково збереглася на скомпрометованому пристрої». Проєкт зупинив введення й виведення на постраждалих мостах і працює з біржами та поліцією. Humanity Protocol підтримують фонди Pantera Capital і Jump Crypto — роком раніше він залучив $20 млн за оцінки $1,1 млрд.

Що це означає

Головний урок — гроші забрали не через діру в коді, а через базову помилку у зберіганні ключів. Мультипідпис захищає рівно настільки, наскільки ключі реально рознесені: щойно більшість із них опиняється на одному пристрої, схема перетворюється на звичайний одиночний гаманець. Це повторюваний сценарій 2026 року — найбільші втрати дедалі частіше приходять через компрометацію ключів і операційну безпеку команди, а не через експлойт контракту.

Окрема іронія: Humanity Protocol будує систему «доказу людяності» проти ботів і сивіл-атак — і сам став жертвою елементарної атаки на співробітника. Для користувача ризик адмін-ключів мосту невидимий, але реальний: він цілком залежить від дисципліни команди. Перш ніж тримати кошти в мостових або стейкінгових контрактах невеликого проєкту, варто дивитися, хто і як керує ключами, — апаратна ізоляція й реальний розподіл підписантів важливіші за гучні імена інвесторів.

ТЕГИ:bnb-chain bridges ethereum humanity-protocol security

ДЖЕРЕЛА:CoinDesk Decrypt Cointelegraph

Поділитися

ByVolodymyr Polkovnichenko

Зв'язатися:

Крипто- та data-аналітик, інженер-програміст (факультет комп'ютерних наук ХНУРЕ). В IT з 2008 року: адміністрував корпоративний моніторинг у «Vodafone Україна», сім років розробляв і просував веб-проєкти, п'ять років керував маркетингом на метриках — конверсія, CTR, ROI, LTV.Криптовалютними ринками займаюся з 2021 року: ончейн-метрики, токеноміка, макроекономічні індикатори. Розробив власну data-driven модель аналізу ринку на 30+ метрик. Стек — Python (pandas, NumPy, SciPy, matplotlib), математична статистика та EDA; збір і звірку даних автоматизую AI-агентами.Принцип — «Don't trust, verify»: кожна цифра перевірена за першоджерелом, ключові — щонайменше за двома незалежними; прогнози — лише сценарії з умовами. Теза без даних не публікується.