Back to all dispatches
News10 juin 2026·By Dadacoin·5 min read

Protocolo de humanidad Pérdido $36M a una sola computadora

El H token de Humanity Protocol se estrelló 89% el 9 de junio después de que los atacantes usaran llaves de un portátil empleado comprometido para drenar $36M a través de BSC y Ethereum.

Protocolo de humanidad Pérdido $36M a una sola computadora
Listen to this article8:14
Now reading aloudProtocolo de humanidad Pérdido $36M a una sola computadora
Photo: Morthy Jameson / Pexels

Protocolo de Humanidad Perdido $36M a una sola computadora

La identidad descentralizada. Pruebas de conocimiento cero. Escaneos de palma verificando que eres un humano. El marketing sonaba bastante futurista. La realidad, los días 8 y 9 de junio fue un solo portátil empleado, un atacante con paciencia, y aproximadamente 447 millones de fichas se desvanecieron en dos cadenas. El panda está tomando notas.

What Happened on June 8-9, 2026

Humanity Protocol, a cero-knowledge Layer-2 focused on proof-of-personhood, revealed on June 9 that attackers had drained or minted approximately $36 million worth of its native H token. El ataque azotó Ethereum y BNB Smart Chain. Según [CoinDesk informa sobre el fallo multisig] (https://www.coindesk.com/tech/2026/06/09/humanity-s-usd36-million-exploit-happened-because-a-multisig-wallet-lived-on-one-laptop), el atacante comprometió tres de seis teclas Gnosis Safe en Ethereum y tres de cinco en BSC. Eso fue suficiente para aprovechar los contratos de puente ProxyAdmin en ambas redes.

El fundador Terence Kwok confirmó públicamente el vector de ataque. "Desafortunadamente en este escenario, las llaves estaban respaldadas en un dispositivo comprometido", dijo a CoinDesk. Traducción: el multisig se distribuyó a través de los firmantes en papel, pero almacenado, en su totalidad, en una máquina.

Los contratos se comportaron exactamente como están diseñados. Las llaves se comportaron exactamente como se instruyó. El portátil, menos así.

Why Did a "Multisig" Live on One Laptop?

Un wallet multisig existe por una razón específica. Dividir la custodia en dispositivos independientes significa que ningún compromiso único rompe todo. Guardar todas las llaves requeridas en un ordenador portátil convertidos que multisig de nuevo en un wallet de una sola firma con marca adicional y una firma de transacción más larga.

El patrón es deprimente familiar. Según [la cuenta de Decrypt de la brecha] (https://decrypt.co/370485/humanity-protocol-loses-36m-after-private-keys-compromised-token-crashes-73), el atacante drenaba 141,2 millones de H del puente Ethereum actualizando el contrato de proxy a una implementación maliciosa, luego secuestró 200 millones adicionales de H en BSC al actualizar el contrato de ficha. El post-mortem on-chain trae el impacto total a aproximadamente 447 millones de H una vez que la inflación BSC se contabiliza completamente.

Es, como señaló CoinDesk, "un fallo de seguridad operacional, no un fallo de contrato inteligente". No hay auditoría de solidez que hubiera atrapado esto. Los contratos hicieron lo que se les ordenó hacer por los firmantes con llaves privadas válidas. Esas llaves sólo le pertenecían, colectivamente, al portátil equivocado.

The Numbers Behind the H Token Collapse

Los mercados reaccionaron de la manera en que los mercados reaccionan cuando la oferta se triplica durante la noche. H cambió por encima de $0.73 el lunes por la mañana y bajó cerca de $0.08 el martes: una reducción intradía de alrededor del 89 por ciento. En el momento en que el hilo post mortem del fundador aterrizó, el token se había estabilizado más cerca de $0.20, aún bajando aproximadamente el 73 por ciento en la semana.

Contexto ayuda. El cripto market cap total se sentó a $2.21 billones el 10 de junio, con el dominio Bitcoin al 55.99 por ciento, según [CoinGecko datos globales del mercado] (https://www.coingecko.com/en/global-charts). El market cap de H, incluso en el pre-ataque de suministro totalmente diluido, fue un error de redondeo en ese contexto. El daño no es sistémico. Es reputada, y aterriza cuadradamente en la arquitectura puente en lugar de en la verificación de identidad misma.

BSC, donde ocurrió la menta inflacionaria, actualmente alberga la pila de protocolo que cubrimos ayer en nuestra nota de salto [BSC TVL] (/blog/2026-06-10-bsc-tvl-jump-mechanism). Ninguna de esas TVL fue afectada directamente. Pero la óptica de "300 millones de fichas tomadas fuera del aire delgado en BSC" no ayudan al problema narrativo recurrente de la cadena, e incidentes como este aparecen rutinariamente en las gráficas comparativas L1 mucho después de que se haya recuperado la pérdida real.

Why It Matters for Bridge Security

Los puentes siguen fallando de la misma manera. No porque la criptografía se rompa, sino porque la capa operacional que protege la criptografía se trata como un post-pensamiento hasta la mañana se requiere un post-mortem.

El patrón H explota, en texto simple:

  • Los firmantes existen en papel pero comparten un dispositivo de respaldo.
  • El contrato Bridge ProxyAdmin es actualizado sin un reloj de tiempo.
  • El contrato Token es actualizado sin un reloj de tiempo.
  • Un dispositivo de compromiso desbloquea ambos caminos de actualización simultáneamente.

Cada artículo, solo, es defensible. Atascados, forman un solo punto de fracaso disfrazado de gobierno descentralizado. La fijación no es aglamorosa: carteras de hardware separadas para cada firmante, relojes obligatorios en actualizaciones de contratos críticos, monitoreo público on-chain de transacciones ProxyAdmin, y simulacros de incidentes que suponen que un firmante ya está perdido. La mayoría de los proyectos no hacen nada de esto. Los que silenciosamente los hacen raramente aparecen en titulares de seguridad, que es algo así.

Para los constructores en [BSC] (/blog/topic/bsc) y [Ethereum] (/blog/topic/ethereum) por igual, esto debería reabrir una conversación que la industria mantiene cerrando demasiado rápido. Envío rápido y confiando en su configuración de custodia más adelante es cómo termina escribiendo un post-mortem en lugar de una hoja de ruta. La pregunta relevante para cualquier proyecto con un puente actualizable no es "podría sucedernos esto" sino "qué diría el post-mortem como si lo hiciera".

What to Watch Next

Tres cosas en las próximas semanas. En primer lugar, si el programa de recuperación del Protocolo de Humanidad compra significativamente el suministro acuñado en BSC o acepta un flotador permanentemente inflado en la cadena. En segundo lugar, si los intercambios centralizados congelan las direcciones a tiempo para recuperar cualquier parte de la liquidez Ethereum drenada, dado lo rápido que los mezcladores y los routers cruzados absorben estos flujos. En tercer lugar, si la próxima declaración de seguridad del proyecto incluye garantías de separación de hardware, que es la victoria de credibilidad más barata todavía disponible.

Dadacoin vive en BSC, y el panda observa los incidentes de puente BSC de cerca. No porque cada hack de cadena sea contagioso, sino porque cada chip evitable en el presupuesto de confianza comparte todo el ecosistema.

#security#bridges#bsc#ethereum#multisig

Newsletter

The panda's weekly take, in your inbox

One email per week. Crypto, lucidly. No spam, no shill.

Disclaimer. This article is not financial advice. Always do your own research (DYOR) before investing.

More dispatches

Keep reading

How to Set Up Your First Safe Multisig: 2026 Routine
Tutorial · 25 mai 2026

How to Set Up Your First Safe Multisig: 2026 Routine

How to Spot a Honeypot Token on Binance Smart Chain
Tutorial · 18 mai 2026

How to Spot a Honeypot Token on Binance Smart Chain

How to Revoke Token Approvals on BSC in 10 Minutes
Tutorial · 17 mai 2026

How to Revoke Token Approvals on BSC in 10 Minutes