O token nativo H do Humanity Protocol registrou uma queda superior a 80% nesta terça-feira (9), após invasores conseguirem comprometer chaves privadas associadas ao projeto. Os atacantes assumiram o controle administrativo da ponte do protocolo e roubaram mais de US$ 36 milhões em Ethereum e BNB Chain, em um dos maiores ataques ao ecossistema DeFi em 2026.
O ataque e a violação de segurança
De acordo com informações oficiais compartilhadas pelo Humanity Protocol, o ataque ocorreu na segunda-feira (8) de forma coordenada entre as blockchains Ethereum e BSC. A investigação revelou que a violação aconteceu após o laptop de um funcionário da fundação ser comprometido, permitindo que os invasores obtivessem acesso às chaves privadas.
Os atacantes conseguiram comprometer três das seis chaves Gnoses Safe no Ethereum e três das cinco na BSC. Com esse acesso, assumiram o controle do ProxyAdmin e drenaram aproximadamente 141,2 milhões de H, além de cunhar mais 200 milhões de tokens por meio de atualizações maliciosas nos contratos inteligentes.
Impacto no mercado e no token H
O impacto financeiro no mercado foi devastador. O token H chegou a cair 89% em relação ao valor anterior ao ataque, indo de máximas de US$ 0,73132 para uma mínima de US$ 0,079606 na manhã de terça-feira, segundo dados do CoinGecko. Atualmente, o token é Negociado próximo a US$ 0,20, representando uma queda de 73% no dia.
Essa desvalorização apagou grande parte de um rali que havia impulsionado o token para perto de seu recorde histórico de US$ 0,80 apenas uma semana antes do incidente. A queda abrupta provocou perdas significativas entre os holders do projeto.
Análise técnica do incidente
Meir Dolev, cofundador e CTO da plataforma de segurança blockchain Cyvers, analisou o incidente e o classificou como uma falha de segurança operacional, e não como um bug em contratos inteligentes. O invasor obteve acesso de administrador através de uma chave privada pertencente a um membro da Humanity Foundation.
Após a atualização maliciosa do contrato, o atacante abusou da função de cunhagem para criar 100 milhões de novos tokens H, avaliados em aproximadamente US$ 12,9 milhões. Em seguida, trocou os tokens roubados e cunhados por ETH e BNB, consolidando os fundos em várias carteiras diferentes.
Dolev explicou que drenar aproximadamente US$ 30 milhões exigiu controle de nível de proprietário e administrador, capaz de aumentar o fornecimento de tokens por meio da atualização do contrato proxy e drenar carteiras controladas diretamente pelo protocolo. A falha central, segundo ele, é estrutural: uma única chave com acesso tanto aos fundos quanto ao poder de reescrever as regras.
Situação atual e riscos remanentes
O fundador Terence Kwok confirmou a violação e orientou os usuários a não interagirem com a ponte ou qualquer pool de liquidez até que a situação seja considerada segura. A equipe do Humanity Protocol interrompeu os depósitos e saques para as pontes afetadas e está trabalhando com exchanges e autoridades policiais para tentar recuperar os fundos.
Dolev observou que o invasor ainda possui grandes quantidades de token H, mas não consegue sacar tudo porque a liquidez do pool é muito baixa para absorver as trocas. O alerta público, segundo ele, faz parte de um esforço para evitar que essa liquidez seja impacted negatively.
Contexto do projeto e histórico do fundador
O Humanity Protocol é um blockchain de segunda camada baseado em conhecimento zero, focado em identidade descentralizada. O projeto foi fundado por Terence Kwok e construído em torno de um sistema de Prova de Humanidade que verifica usuários por meio de escaneamento de palmas, diferenciando-se de outras soluções que utilizam reconhecimento de íris ou facial.
Este incidente representa o mais recente revés para Kwok, cuja empreitada anterior foi a startup de tecnologia hoteleira Tink Labs. A empresa levantou aproximadamente US$ 160 milhões e se tornou um dos primeiros unicórnios de Hong Kong, antes de encerrar suas atividades em 2019 devido a problemas financeiros.
Perspectivas futuras e próximos passos
A equipe do Humanity Protocol prometeu realizar uma análise post-mortem do incidente. Em comunicado, o projeto afirmou: "As pessoas nesta comunidade trabalharam duro pelo que detêm aqui, e sentimos o peso disso". A transparência foi destacada como prioridade no tratamento da situação.
O projeto enfrenta ainda um evento importante no cronograma de desbloqueio de tokens: estão programados 266,5 milhões de H, equivalentes a aproximadamente 9,4% do fornecimento total, avaliados em cerca de US$ 33 milhões aos preços anteriores à queda, para serem liberados em 25 de junho em seis alocações distintas.
A violação do Humanity Protocol ocorre em um dos piores períodos já registrados para a segurança DeFi. Segundo dados do DeFiLlama, mais de US$ 885 milhões foram perdidos em ataques DeFi nos primeiros seis meses de 2026, evidenciando a necessidade urgente de melhorias nos protocolos de segurança operacional das projetos blockchain.
