Por Canuto Humanity Protocol atribuyó el robo de más de USD $36 millones en tokens H a un fallo de seguridad tan básico como grave: varias claves críticas de sus puentes entre cadenas terminaron respaldadas en un solo laptop comprometido. El incidente reavivó las dudas sobre la gestión operativa del proyecto, su gobernanza técnica y el comportamiento reciente del mercado del token.
***
- Humanity dijo que el ataque comenzó tras comprometerse el laptop de un empleado que almacenaba varias claves de administración de puentes.
- El atacante obtuvo el umbral suficiente de firmas en Ethereum y BNB Chain para drenar tokens H y habilitar una función de acuñación ilimitada.
- El proyecto suspendió depósitos y retiros en los puentes afectados, mientras coordina con exchanges y la policía para intentar recuperar fondos.
🚨 Robo de USD $36 millones en Humanity Protocol
Un fallo de seguridad permitió que un laptop comprometido almacenara claves críticas.
El atacante drenó cerca de 141 millones de tokens H en Ethereum y acuñó 200 millones más en BNB Chain.
El proyecto enfrenta un severo… pic.twitter.com/HSF9buOnsg
— Diario฿itcoin (@DiarioBitcoin) June 9, 2026
Humanity Protocol explicó cómo ocurrió el robo de más de USD $30 millones en su token nativo H, y la respuesta apunta a una falla grave en el manejo de sus claves administrativas.
De acuerdo con la información difundida por el proyecto, el incidente comenzó cuando un laptop de un empleado fue comprometido y ese equipo contenía suficientes credenciales como para cruzar el umbral de aprobación en los puentes del protocolo.
El caso llamó la atención porque esos puentes operaban con billeteras multisignature, un esquema diseñado precisamente para evitar que una sola persona o un solo dispositivo pueda autorizar movimientos críticos.
En teoría, una multisig distribuye las llaves entre varios participantes y equipos distintos. En este caso, sin embargo, la concentración de claves en un mismo laptop anuló en la práctica esa capa de protección.
La brecha afecta a un proyecto de identidad descentralizada que el año pasado recaudó USD $20 millones de Pantera Capital y Jump Crypto a una valoración de USD $1.100 millones.
El episodio ahora somete a Humanity a un escrutinio más severo, no solo por la magnitud de la pérdida, sino porque el error descrito se considera un fallo básico de seguridad operativa para cualquier infraestructura que administre puentes entre cadenas.
Según reportó CoinDesk, el atacante consiguió tres de las seis claves que controlaban la cuenta de administración del puente en Ethereum. Esa cantidad bastó para tomar el control de los mecanismos vinculados al despliegue del proyecto en esa red, transferir la propiedad a una billetera propia y reemplazar el código del puente por una versión maliciosa.
Cómo se ejecutó el ataque en Ethereum y BNB Chain
Tras obtener ese acceso inicial, el explotador drenó cerca de 141 millones de tokens H en una sola transacción dentro del entorno de Ethereum. Ese detalle resulta importante porque muestra que el incidente no se limitó a un acceso superficial, sino que implicó control administrativo suficiente para alterar componentes esenciales del puente y extraer fondos de forma directa.
El mismo patrón se repitió en BNB Chain, aunque con una variante aún más delicada. Allí, el atacante utilizó tres de cinco claves, instaló código con una función de acuñación ilimitada y luego acuñó alrededor de 200 millones de nuevos tokens H directamente a su propia billetera. Esa secuencia amplió el impacto del ataque al combinar drenaje de activos con creación arbitraria de nuevas unidades del token.
En el ecosistema cripto, los puentes son infraestructuras de alto riesgo porque conectan redes distintas y suelen custodiar activos o representar su equivalencia entre cadenas. Por esa razón, sus controles administrativos son uno de los puntos más sensibles de toda la arquitectura. Cuando las firmas requeridas por una multisig no están realmente distribuidas, el sistema conserva el nombre, pero pierde la lógica de seguridad que justifica su uso.
Humanity detalló que los puentes afectados movían H y otros activos entre blockchains. El problema central fue que un solo compromiso permitió al atacante alcanzar el número de firmas necesario en dos redes distintas. Eso convirtió una herramienta concebida para reducir puntos únicos de falla en un punto único de falla encubierto.
La explicación del fundador y las dudas sobre el proceso interno
En un mensaje de Telegram citado por CoinDesk, el fundador de Humanity, Terence Kwok, señaló que el equipo había configurado una billetera multisig entre cuatro individuos, como correspondía. Sin embargo, agregó que el proyecto sospecha que algunas claves fueron respaldadas accidentalmente en un dispositivo comprometido durante el proceso de configuración.
Kwok sostuvo además que Humanity utiliza un custodio con licencia para la mayor parte del tesoro de tokens y tecnología MPC para el tesoro de operaciones. También indicó que, en el caso de ciertos contratos, las claves multisig se configuraron en un lugar y después se dispersaron. Su conclusión fue que, desafortunadamente, en este escenario, las claves quedaron respaldadas en un dispositivo comprometido.
Esa explicación sugiere que el problema no necesariamente radicó en el diseño conceptual del control multifirma, sino en su implementación práctica. En seguridad blockchain, la distancia entre ambos planos suele ser decisiva. Un esquema puede ser sólido en papel y, aun así, fracasar por errores operativos durante la generación, respaldo o distribución de claves.
Desde entonces, Humanity eliminó la página del equipo de su sitio web. Aunque el proyecto no ofreció en este reporte una explicación específica sobre esa decisión, el movimiento alimentó la atención del mercado alrededor de la transparencia de la organización en medio de la crisis.
Medidas de contención y reacción del mercado
Tras detectar el incidente, Humanity informó que detuvo los depósitos y retiros en los puentes afectados. El proyecto agregó que trabaja con exchanges y con la policía en un intento por recuperar fondos. Esa respuesta entra dentro del manual habitual de contención posterior a un exploit, aunque la efectividad de estas gestiones suele depender de la rapidez del rastreo y de la capacidad de congelar o identificar activos antes de que pasen por múltiples capas de ofuscación.
El precio del token H reflejó la gravedad de lo ocurrido. Durante el ataque, el activo cayó hasta alrededor de USD $0,05, según datos de CoinGecko. Más tarde recuperó parte del terreno perdido y volvió a la zona de USD $0,20. Aun así, permanece muy lejos del nivel previo a la brecha, cercano a USD $0,67.
Más allá del golpe técnico, esa trayectoria de precio ilustra el daño reputacional que acompaña este tipo de eventos. Incluso cuando un proyecto logra reanudar operaciones o mitigar la pérdida directa, la confianza de usuarios, inversionistas y socios suele resentirse durante mucho más tiempo que la caída inicial del token.
En paralelo, ZachXBT, conocido investigador on-chain, afirmó que el compromiso de las claves y otra ronda separada de actividad sospechosa en el mercado del token no estaban conectados. Su observación intenta separar el exploit en sí de otros movimientos que venían despertando atención entre participantes del mercado.
Las preguntas pendientes alrededor del token H
ZachXBT también planteó dudas sobre la forma en que se negoció el token H en las semanas previas a la brecha, antes de un gran desbloqueo programado de tokens. Según señaló, el precio pasó de USD $0,20 a USD $0,70 en dos semanas. Aunque no vinculó ese comportamiento al robo de claves, la secuencia incrementó la sensibilidad del mercado frente a cualquier señal de desorden interno o supervisión insuficiente.
Ese contexto importa porque los incidentes de seguridad rara vez se evalúan de forma aislada. Los inversionistas tienden a observar al mismo tiempo la calidad del código, la disciplina operativa, la estructura de incentivos del token y la transparencia de la comunicación corporativa. Cuando varios de esos elementos generan dudas a la vez, el castigo reputacional puede intensificarse.
Por ahora, los hechos confirmados apuntan a una cadena de errores de custodia y respaldo de claves que permitió al atacante controlar puentes en Ethereum y BNB Chain, drenar cerca de 141 millones de H en un frente y acuñar unos 200 millones adicionales en otro. La pérdida total reportada supera los USD $36 millones, mientras el proyecto intenta contener las consecuencias técnicas, legales y de mercado.
El episodio deja una lección clara para el sector. En cripto, una multisig no es segura por el simple hecho de llamarse multisig. Su valor depende de que las claves estén realmente separadas entre personas, dispositivos y procedimientos distintos. Cuando esa disciplina falla, la descentralización prometida puede reducirse a la fragilidad de un solo laptop.
Imagen de Unsplash
Este artículo fue escrito por un redactor de contenido de IA
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
AltCoins
SAHARA AI niega ventas internas y abre investigación tras desplome de su token
AltCoins
KITE bajo presión: ¿oportunidad de compra o trampa de valor?
AltCoins
Aster desploma 74% desde su máximo: ¿Oportunidad de compra o activo tóxico?
AltCoins