Humanity Protocol, una red de identidad descentralizada basada en verificación biométrica de la palma de la mano, sufrió este 8 de junio un exploit que resultó en pérdidas superiores a USD 31 millones.
Según el analista on chain Specter, más de 17 wallets que habían interactuado con el protocolo fueron vaciadas en cuestión de horas. Las estimaciones iniciales situaban el daño en USD 5 millones, cifra que escaló rápidamente conforme avanzaba el ataque.
El fundador de Humanity Protocol, Terence Kwok, confirmó la causa en una publicación en redes sociales: el compromiso de claves privadas pertenecientes a un miembro de la Humanity Foundation.
Kwok precisó que el equipo trabaja con expertos en seguridad y socios en exchanges para contener el incidente, y advirtió a los usuarios que no interactuaran con el puente del protocolo ni con ningún pool de liquidez hasta recibir confirmación de que es seguro hacerlo.
Según datos onchain compilados por Lookonchain, el atacante obtuvo aproximadamente 18.510 ETH —equivalentes a unos USD 30,83 millones— y 1.548 BNB adicionales mediante la venta masiva de los tokens H robados. El precio del token cayó desde aproximadamente USD 0,67 hasta un mínimo de USD 0,05. Una contracción de alrededor del 89% en pocas horas, antes de recuperar parcialmente terreno.
El vector del ataque no se limitó al drenaje de wallets. Según los reportes de Humanity Protocol, el atacante aprovechó derechos de administrador proxy obtenidos en BNB Chain para acuñar 100 millones de tokens H adicionales, que luego vendió por BNB, incrementando la presión vendedora sobre un mercado con liquidez ya exhausta.
La comunidad exige respuestas y abre el debate
La gestión del incidente generó controversia en la comunidad. El investigador blockchain ZachXBT cuestionó públicamente si el equipo debía revelar información adicional antes de que la comunidad aceptara la explicación oficial. Hizo referencia a acuerdos de creación de mercado con una entidad en Hong Kong.
Según Coinfomania, ZachXBT matizó posteriormente sus señalamientos tras un análisis adicional que sugirió que el compromiso de claves y los problemas de market-making serían incidentes separados.
Humanity Protocol es un protocolo de capa 2, construido sobre tecnología zkEVM y el kit de desarrollo de cadenas de Polygon. Compite directamente con Worldcoin en el segmento de identidad digital descentralizada. Su sistema de verificación, mediante escaneo de palma de la mano, había sido señalado como una alternativa de mayor privacidad frente a los modelos basados en el iris.
El incidente se inscribe en una tendencia documentada durante 2026: según informes, las pérdidas por ataques en DeFi superaron los USD 1.000 millones en los primeros cuatro meses del año, con el robo de claves privadas como vector dominante, por encima de las vulnerabilidades en contratos inteligentes. Casos como el de Drift Protocol —USD 285 millones en abril tras la captura de una clave administrativa— ilustran el patrón que ahora afecta a Humanity Protocol.
Kwok no anunció un plan de compensación para los usuarios afectados, ni precisó qué miembro de la fundación tenía la custodia de las claves comprometidas. Hasta el momento, la investigación sigue en curso. ZachXBT y otros investigadores on chain continúan rastreando los fondos. La comunidad exige respuestas antes de que el protocolo reactive sus operaciones.
Este incidente vuelve a subrayar uno de los riesgos más graves en proyectos jóvenes: la mala gestión de claves privadas por parte de miembros del equipo. La lección para otros proyectos de identidad biométrica es clara: deben implementar esquemas de multisig, y mayores medidas de seguridad desde etapas tempranas, en lugar de depender de claves individuales.
Leave a Reply