A moeda nativa G do Humanity Protocol caiu mais de 80% na terça-feira (9), após invasores comprometerem chaves privadas associadas ao projeto, assumirem os controles administrativos da ponte e subtraírem mais de US$ 36 milhões em Ethereum e BNB Chain.
Em uma sequência minuciosa, o Humanity Protocol declarou que o ataque de segunda-feira foi planejado entre o Ethereum e a BSC e rastreado até uma quebra de segurança que aconteceu “após o laptop de um colaborador ser comprometido”.
A brecha no Humanity estende um dos piores períodos já registrados para a segurança DeFi, com mais de US$ 885 milhões perdidos em ataques DeFi nos primeiros seis meses de 2026, de acordo com informações do DeFiLlama.
Os invasores comprometeram três das seis chaves Gnosis Safe no Ethereum e três das cinco na BSC, assumindo o controle do ProxyAdmin, drenando cerca de 141,2 milhões de G e gerando outros 200.000.005 G por meio de atualizações maliciosas de contratos, de acordo com o projeto.
A moeda G do projeto despencou de picos de US$ 0,73132 na segunda-feira para uma mínima de US$ 0,079606 na manhã de terça-feira, segundo dados do CoinGecko, uma queda de 89%. A G está sendo negociada atualmente perto de US$ 0,20, com queda de 73% no dia, apagando grande parte de um aumento que elevou a moeda para perto de seu recorde histórico de US$ 0,80 apenas uma semana antes.
O criador Terence Kwok verificou a quebra de segurança e instruiu os usuários a se manterem afastados da estrutura do projeto.
O Humanity Protocol é um blockchain de segunda camada de conhecimento zero centrado em identidade descentralizada, criado por Kwok e construído em torno de um sistema de “Validação de Humanidade” que autentica usuários através de leitura de palmas, em lugar de reconhecimento de íris ou facial.
A violação é o mais recente revés para Kwok, cuja iniciativa anterior, a empresa de tecnologia hoteleira Tink Labs, arrecadou cerca de US$ 160 milhões e se tornou um dos primeiros unicórnios de Hong Kong antes de encerrar as operações em 2019, devido a problemas financeiros.
A equipe do Humanity Protocol afirmou ter interrompido os depósitos e saques para as pontes afetadas e estar colaborando com exchanges e autoridades para recuperar os fundos.
“As pessoas nesta comunidade trabalharam arduamente pelo que possuem aqui, e sentimos a gravidade disso”, afirmou o projeto, prometendo uma avaliação após o evento.
Uma “vulnerabilidade operacional de segurança”
Meir Dolev, co-fundador e CTO da plataforma de segurança blockchain Cyvers, informou ao Decrypt que o incidente foi “uma falha de segurança operacional, não uma falha no contrato inteligente”, com o invasor obtendo acesso administrativo por meio de uma chave privada relacionada a um membro da Humanidade Foundation.
Após a atualização do contrato, Dolev explicou que o invasor abusou da função de criação de moeda para gerar 100 milhões de novas G, avaliadas em cerca de US$ 12,9 milhões, e então trocou as moedas roubadas e geradas por ETH e BNB antes de consolidar em diversas carteiras.
Dolev destacou que drenar cerca de US$ 30 milhões “exigia um controle de proprietário/administrador capaz de aumentar o suprimento de moedas por meio da atualização do contrato proxy e drenar carteiras controladas diretamente pelo protocolo”.
“A falha central é estrutural: uma única chave com acesso tanto aos fundos quanto ao poder de reescrever as regras”, disse ele.
Ele interpretou o aviso de Kwok para evitar a ponte e os pools como um indicativo de que o acesso “pode não estar completamente contido”.
O invasor ainda detém grandes quantidades de G, mas não consegue liquidá-las totalmente porque a liquidez nos pools é muito baixa para absorver as transações, disse Dolev, tornando a divulgação pública um esforço para proteger essa liquidez.
O Humanity Protocol deve destravar 266,5 milhões de G, cerca de 9,4% do suprimento emitido, avaliados em aproximadamente US$ 33 milhões a preços pré-queda, em 25 de junho, em seis etapas, segundo dados da Tokenomist.
O pesquisador on-chain ZachXBT inicialmente indicou o evento como “possivelmente armado”, insinuando que fornecia uma saída conveniente para o formador de mercado ativo.
Posteriormente, ele retirou a afirmação, tuitando que: “Após uma análise mais detalhada da lavagem, parece que o MM / OTC suspeito e o comprometimento de chaves privadas são independentes um do outro e não estão relacionados.”
Dolev alertou que até agora as evidências on-chain permanecem ambíguas, uma vez que o invasor possui legitimamente direitos administrativos. Para onde os fundos serão direcionados nos próximos dias, e se a chave comprometida estava inativa antes, serão fatores decisivos, acrescentou Dolev.
* Traduzido e adaptado com permissão do Decrypt.
Buscando uma alternativa para aumentar sua rentabilidade? A Renda Fixa Digital do MB é a opção: com ganhos de até 18% ao ano, risco controlado e a segurança que seu dinheiro merece.Descubra agora!
Fonte: Portal do Bitcoin
