Humanity Protocol: atacante roubou 7 chaves privadas de um…

O Humanity Protocol divulgou um relatório de investigação confirmando que o ataque de 8 de junho resultou de uma única máquina de desenvolvedor comprometida e infectada com malware, que concedeu ao atacante acesso total de root. Sete chaves privadas foram inadvertidamente armazenadas nesse dispositivo durante o lançamento da mainnet do projeto em junho de 2025 — incluindo a chave da carteira quente do administrador, três chaves de proprietário do Ethereum Safe e três chaves de proprietário do BSC Safe — dando ao atacante controle completo a partir de um único ponto de falha. O protocolo já havia divulgado perdas superiores a $31 milhões decorrentes do incidente.

Por que isso é importante

A investigação descartou explicitamente uma exploração de contrato inteligente: não houve bug na ponte, no contrato do token ou na implementação do Safe. Cada transferência, transação do Safe e atualização de proxy executada pelo atacante foi autorizada usando chaves privadas legítimas. Essa distinção é extremamente importante para como a indústria interpreta isso — o vetor de ataque foi a segurança operacional, não o código. Um único laptop de desenvolvedor tornou-se a chave mestra para um tesouro de mais de $31M porque as chaves privadas foram feitas backup nele durante uma janela de lançamento de mainnet sob alta pressão.

Impacto no mercado

Para investidores e equipes de protocolo, a lição é estrutural: módulos de segurança de hardware, cerimônias de chaves isoladas e separação rigorosa da autoridade de assinatura não são opcionais em escala de mainnet. O incidente do Humanity Protocol se junta a uma lista crescente de perdas de nove dígitos atribuídas a falhas na gestão de chaves em vez de bugs em contratos inteligentes, reforçando a pressão regulatória sobre projetos de cripto para demonstrar práticas de custódia de nível institucional antes do lançamento.