پروتکل Humanity در هکِ کلید خصوصی ۳۲ میلیون دلار از دست داد؛ ZachXBT این حادثه را «احتمالاً صحنه‌سازی‌شده» خواند

نقض کلید خصوصی به یک طوفان تمام‌عیار تبدیل می‌شود

این سوءاستفاده اوایل ۹ ژوئن پروتکل Humanity، یک شبکهٔ احراز هویت، را هدف قرار داد. طبق گفتهٔ تحلیل‌گر آن‌چین Specter، کیف‌پول‌هایی که با پروژه تعامل داشتند به‌صورت سیستماتیک تخلیه شدند و ۱۷ آدرسِ دارای توکن H به‌طور کامل خالی شد؛ مجموعاً بیش از ۳۲ میلیون دلار. در نتیجه، توکن بومی آن طی ۲۴ ساعت ۸۹٪ سقوط کرد، در حالی که ردیاب‌های دیگر زیان‌هایی نزدیک به ۳۰ میلیون دلار را ثبت کردند که به مصالحهٔ یک کلید خصوصی نسبت داده شده است.

ترنس کووک، بنیان‌گذار Humanity، رخنه را تأیید کرد و گفت منشأ آن به درز/مصالحهٔ کلیدهای خصوصی متعلق به یکی از اعضای Humanity Foundation بازمی‌گردد. داده‌های بلاکچین نشان داد مهاجم با سرعت عمل کرده و حدود ۲۳.۷ میلیون دلار از ارزشِ سرقت‌شده را به اتر (ETH) سواپ کرده است، در حالی که حدود ۷.۹ میلیون دلار همچنان در قالب توکن‌های H باقی مانده بود و هم‌زمان با ریزش قیمت‌ها سقوط می‌کرد.

تخلیه به سرقت اولیه محدود نماند. شرکت تحلیل‌گر Lookonchain گزارش کرد که هکر Humanity روی BNB Chain صد میلیون H دیگر مینت کرده و با فروش تدریجی، تا اینجا ۱۸,۵۱۰ ETH به ارزش حدود ۳۰.۸۳ میلیون دلار به‌دست آورده است؛ همچنین ۱,۵۴۸ BNB با ارزش نزدیک به ۹۲۴ هزار دلار. همان داده‌ها نشان می‌داد مهاجم هنوز حدود ۱۱۱ میلیون H (حدود ۱۴ میلیون دلار با قیمت‌های پایین‌آمده) در اختیار دارد، هرچند نقدینگی آن‌چین «تقریباً تمام‌شده» توصیف شد؛ یعنی فروش بیشتر می‌تواند قیمت را حتی شدیدتر سقوط دهد.

مینت شدنِ توکن‌های تازه روی یک زنجیرهٔ دوم، همان چیزی است که یک سوءاستفادهٔ معمول را به بحران اعتبار تبدیل کرده است. منتقدان پرسیدند چگونه مهاجمی با یک کلیدِ واحدِ به‌خطر افتاده می‌تواند به دلخواه عرضهٔ جدید صادر کند؛ قدرتی که معمولاً در اختیار مدیران خود پروژه است.

ZachXBT روایت تیم را زیر سؤال می‌برد

این پرسش با اظهارات ZachXBT، محقق ناشناسی که به افشای کلاهبرداری‌های کریپتو مشهور است، پررنگ‌تر شد. او علناً به روایت رسمی تردید کرد و نوشت «این حادثه احتمالاً صحنه‌سازی شده به نظر می‌رسد» و او «روایت تیم را باور نمی‌کند»، و آن را «راهی راحت برای خروج بازارسازِ فعال» خواند.

در پیام جداگانه‌ای خطاب به پروژه، او تیم را متهم کرد که برای هفته‌ها تصمیم گرفته‌اند «توکن‌تان را با پامپِ جنایی و بدون هیچ مبنای بنیادی» بالا ببرند و خواست که ابتدا «توافق‌های فعال MM با نهاد هنگ‌کنگی» را افشا کنند.

این ادعا ماجرا را از یک شکست امنیتی به یک خروج احتمالیِ داخلی تبدیل کرده است؛ سناریویی که در آن ممکن است یک بازارساز، تحت پوشش یک «اکسپلویت»، موقعیت خود را تخلیه کرده باشد. Humanity به‌طور عمومی به ادعاهای مشخص ZachXBT پاسخ نداده و هیچ تأیید مستقلّی از صحنه‌سازی نیز منتشر نشده است.

هرچه حقیقت باشد، زمان‌بندی ناامیدکننده است؛ زیرا این رخداد به سال ۲۰۲۶ِ بی‌رحمِ امنیت کریپتو اضافه شده است. Bitcoin.com News گزارش داد آوریل ۲۰۲۶ به‌عنوان بیشترین ماهِ هک‌شده در تاریخ این صنعت از نظر تعداد رخدادها بسته شد و Defillama نزدیک به ۳۰ اکسپلویت جداگانه را ثبت کرده است. سال جاری همچنین شاهد اکسپلویت Drift Protocol بوده که در آن بیش از ۲۰۰ میلیون دلار در یک حملهٔ واحد تخلیه شد؛ حمله‌ای که بعداً به بازیگران مرتبط با کرهٔ شمالی نسبت داده شد.

به‌ویژه مصالحهٔ کلیدهای خصوصی به یکی از پرهزینه‌ترین بردارهای حمله تبدیل شده است، زیرا به‌جای نیاز به باگِ قرارداد هوشمند، کنترل مستقیمِ وجوه را به سارق می‌دهد. برای Humanity Protocol، بازگرداندن خسارت ممکن است دشوار باشد؛ زیرا بازسازی پیرامون توکنی که نزدیک به ۹۰٪ سقوط کرده و نقدینگی‌اش تحلیل رفته سخت است، و اکنون پروژه بار اضافیِ یک اتهام حل‌نشدهٔ کلاهبرداری از سوی یکی از پرمخاطب‌ترین کارآگاهان این فضا را نیز به دوش می‌کشد.