Dezentrale Identität. Null-Wissensnachweise. Palmscans überprüfen Sie sind ein Mensch. Das Marketing klang ziemlich futuristisch. Die Realität, am 8. und 9. Juni, war ein einziger Angestellter Laptop, ein Angreifer mit Geduld, und etwa 447 Millionen Token verschwinden über zwei Ketten. Die Panda nimmt Notizen.
Was geschah am 8. bis 9. Juni 2026
Humanity Protocol, eine Null-Knowledge Layer-2 konzentrierte sich auf den Beweis der Person, offenbart am 9. Juni, dass Angreifer etwa $36 Millionen im Wert seiner nativen H-Token entwässert oder abgebaut hatte. Der Angriff umfasste Ethereum und BNB Smart Chain. Laut [CoinDesks Bericht über den Multisig-Versagen] (https://www.coindesk.com/tech/2026/06/09/humanity-s-usd36-million-exploit-happened-because-a-multisig-wallet-lived-on-one-laptop) hat der Angreifer drei von sechs Gnosis-Sichere Schlüssel auf Ethereum und drei von fünf auf BSC kompromittiert. Das war genug, um die Brücke ProxyAdmin Verträge auf beiden Netzwerken zu ergreifen.
Gründer Terence Kwok bestätigte den Angriffsvektor öffentlich. "Leider in diesem Szenario waren die Schlüssel auf einem kompromittierten Gerät gesichert", sagte er CoinDesk. Übersetzung: das Multisig wurde über Unterzeichner auf Papier verteilt, aber vollständig auf einer Maschine gespeichert.
Die Verträge wurden genau so gestaltet. Die Schlüssel verhielten sich genau wie angewiesen. Der Laptop, weniger.
Warum hat ein "Multisig" auf einem Laptop gelebt?
Aus einem bestimmten Grund besteht ein Multisig wallet. Die Aufteilung der Sorge über unabhängige Geräte bedeutet, dass kein einziger Kompromiss das Ganze bricht. Speichern aller erforderlichen Tasten auf einem Laptop konvertiert, dass Multisig zurück in eine Single-Signatur wallet mit extra Branding und eine längere Transaktion Signatur.
Das Muster ist deprimierend vertraut. Laut Decrypts Bericht der Verletzung entzog der Angreifer 141,2 Millionen H von der Ethereum-Brücke, indem er den Proxyvertrag auf eine schädliche Umsetzung aktualisierte, dann eine zusätzliche 200 Millionen H auf BSC durch die Aktualisierung des Tokenvertrags abgebaut. Die on-chain post-mortem bringt die Gesamtwirkung auf etwa 447 Millionen H, wenn die BSC Inflation vollständig berücksichtigt wird.
Es ist, wie CoinDesk bemerkte, "ein operativer Sicherheitsversagen, kein Smart-contract Bug." Es gibt keine Soliditätsprüfung, die dies erwischt hätte. Die Verträge haben das getan, was sie von Unterzeichnern mit gültigen privaten Schlüsseln bewiesen wurden. Diese Schlüssel waren zufällig zusammen mit dem falschen Laptop.
Die Zahlen hinter dem H Token Collapse
Die Märkte reagierten wie die Märkte reagieren, wenn die Versorgung über Nacht dreifach erfolgt. H über $0.73 am Montagmorgen gehandelt und am Dienstag in der Nähe von $0.08 gesunken: eine Intraday-Ziehung von rund 89 Prozent. Als der Nachmortemfaden des Gründers landete, stabilisierte sich der Token näher an 0,20 Dollar, noch knapp 73 Prozent an der Woche.
Kontext hilft. Das Gesamt-Crypto market cap saß am 10. Juni bei $2.21 Billionen, mit Bitcoin Dominanz bei 55,99 Prozent, nach Die globalen Marktdaten von CoinGecko. H's market cap, auch bei vollständig verdünntem Voranschlag, war ein Rundungsfehler gegen diesen Hintergrund. Der Schaden ist nicht systemisch. Es ist namhaft, und es landet quadratisch auf Brückenarchitektur anstatt auf Identitätsprüfung selbst.
BSC, wo die Inflationsminze passierte, beherbergt derzeit den Protokollstapel, den wir gestern in unserer [BSC TVL Sprungmechanismus] (/blog/2026-06-10-bsc-tvl-jump-mechanism) Note abgedeckt. Keines dieser TVL wurde direkt betroffen. Aber die Optik von "300 Millionen Token, die auf BSC aus dünner Luft abgebaut werden" hilft nicht das wiederkehrende narrative Problem der Kette, und Ereignisse wie diese routinemäßig erscheinen in den vergleichenden L1 Charts lange nach dem tatsächlichen Verlust wiederhergestellt.
Warum es auf Brückensicherheit ankommt
Brücken scheitern immer so. Nicht weil die Kryptographie gebrochen ist, sondern weil die operative Schicht, die die Kryptographie schützt, als Nachdenken bis zum Morgen ein Nachmort benötigt wird.
Das H Exploit-Muster im Klartext:
- Signer gibt es auf Papier, aber teilen Sie ein Backup-Gerät.
- Brücke ProxyAdmin Vertrag ist ohne Zeitschloss aufrüstbar.
- Token Vertrag ist ohne Zeitschloss aufrüstbar.
- Ein Gerät Kompromiss entsperrt beide Upgrade-Pfade gleichzeitig.
Jeder Einzelteil, allein, ist defensibel. Gestapelt bilden sie einen einzigen Punkt des Scheiterns als dezentrale Governance. Der Fix ist unglamourös: separate Hardware-Wandets für jeden Unterzeichner, obligatorische Zeitverriegelungen bei kritischen Vertrags-Upgrades, öffentliche on-chain-Überwachung von ProxyAdmin-Transaktionen und Vorfallbohrer, die einen Unterzeichner annehmen, ist bereits verloren. Die meisten Projekte machen nichts davon. Diejenigen, die sie ruhig nur selten in Sicherheitsüberschriften auftauchen, was irgendwie der Punkt ist.
Für Bauherren auf BSC und Ethereum sollte dies ein Gespräch wieder öffnen, das die Branche zu schnell schließt. Versand schnell und vertrauensvoll Ihre Sorge Setup später ist, wie Sie am Ende ein Post-Motem anstelle einer Roadmap schreiben. Die relevante Frage für jedes Projekt mit einer aufrüstbaren Brücke ist nicht "sollte dies bei uns geschehen", sondern "was würde das Post-Merkmale so lesen, wenn es so wäre".
Was ist der Nächste?
Drei Dinge in den nächsten Wochen. Erstens, ob das Recovery-Programm von Humanity Protocol aussagekräftig das abgebaute Angebot auf BSC zurückkauft oder einen dauerhaft aufgeblasenen Float auf der Kette akzeptiert. Zweitens, ob zentralisierte Austausche frieren Angreifer Adressen in der Zeit, um jeden Teil der abgelassenen Ethereum Liquidität zurückzugewinnen, da, wie schnell Mischer und Cross-Ketten-Router diese Ströme absorbieren. Drittens, ob die nächste Sicherheitsinformation des Projekts Hardware-Trennung Garantien beinhaltet, die der glaubwürdigste Gewinn noch zur Verfügung steht.
Dadacoin lebt auf BSC, und die panda Uhren BSC Brücke Zwischenfälle eng. Nicht weil jeder Kettenhacker ansteckend ist, sondern weil jeder vermeidbare Chip am Trust-Budget die gesamten Ökosystemanteile teilt.
