Humanity Protocol: Angreifer stahl 7 private Schlüssel von einem…

Der Humanity Protocol hat einen Untersuchungsbericht veröffentlicht, der bestätigt, dass der Angriff vom 8. Juni von einem einzigen kompromittierten Entwicklergerät ausging, das mit Malware infiziert war und dem Angreifer vollen Root-Zugriff gewährte. Sieben private Schlüssel waren versehentlich auf diesem Gerät während des Mainnet-Starts des Projekts im Juni 2025 gespeichert worden — einschließlich des Admin-Hot-Wallet-Schlüssels, drei Ethereum Safe-Besitzer-Schlüssel und drei BSC Safe-Besitzer-Schlüssel — was dem Angreifer die vollständige Kontrolle von einem einzigen Punkt des Versagens aus ermöglichte. Das Protokoll hatte zuvor Verluste von über 31 Millionen Dollar aus dem Vorfall offengelegt.

Warum es wichtig ist

Die Untersuchung schloss ausdrücklich einen Smart-Contract-Exploit aus: Es gab keinen Fehler in der Brücke, im Token-Vertrag oder in der Safe-Implementierung. Jede Übertragung, jede Safe-Transaktion und jedes Proxy-Upgrade, das der Angreifer durchführte, wurde mit legitimen privaten Schlüsseln autorisiert. Diese Unterscheidung ist enorm wichtig für die Wahrnehmung der Branche — der Angriffspunkt war die operationale Sicherheit, nicht der Code. Ein einzelnes Entwickler-Laptop wurde zum Master-Schlüssel für eine Schatzkammer von über 31 Millionen Dollar, weil private Schlüssel während eines hochdruckbelasteten Mainnet-Startfensters darauf gesichert wurden.

Marktauswirkungen

Für Investoren und Protokollteams ist die Erkenntnis strukturell: Hardware-Sicherheitsmodule, luftdicht abgeschottete Schlüsselzeremonien und strikte Trennung der Signaturbefugnis sind auf Mainnet-Ebene nicht optional. Der Vorfall beim Humanity Protocol reiht sich in eine wachsende Liste von Verlusten im neunstelligen Bereich ein, die auf Fehler im Schlüsselmanagement und nicht auf Bugs in Smart Contracts zurückzuführen sind, und verstärkt den regulatorischen Druck auf Krypto-Projekte, institutionelle Verwahrpraktiken vor dem Start nachzuweisen.