Humanity Protocol po hacku na 36 mln USD. Projekt wygasza stary token H, zapowiada airdrop i restart mainnetu

Humanity Protocol, projekt zajmujący się zdecentralizowaną weryfikacją tożsamości, próbuje odbudować zaufanie po jednym z głośniejszych ataków ostatnich dni. Według szacunków straty po exploicie tokena H sięgnęły ok. 36 mln USD. Zespół ogłosił już plan ratunkowy: stary token zostanie wygaszony, powstał nowy audytowany kontrakt ERC-20, a uprawnieni holderzy mają otrzymać nowe tokeny w stosunku 1:1.

To historia ważna nie tylko dla posiadaczy H. Pokazuje też jeden z największych problemów branży krypto: nawet najlepszy pomysł i audyt kodu nie wystarczą, jeśli zawodzi zarządzanie kluczami prywatnymi.

Najważniejsze informacje

Humanity Protocol padło ofiarą ataku 8 czerwca 2026 roku. Według dostępnych analiz przyczyną nie był klasyczny błąd w smart kontrakcie, ale przejęcie kluczy prywatnych jednego z członków zespołu.

Atakujący przejęli klucze zapisane w backupie na zainfekowanym urządzeniu. Dzięki temu mogli uzyskać kontrolę nad elementami infrastruktury projektu, wyprowadzić tokeny z mostu na Ethereum oraz mintować nowe tokeny na BNB Smart Chain.

Token H gwałtownie stracił na wartości. W najgorszym momencie spadek sięgał nawet 80–90% względem poziomów sprzed ataku.

We wtorek 16 czerwca Humanity Protocol przedstawiło plan odbudowy. Obejmuje on wygaszenie starego tokena H, wdrożenie nowego kontraktu ERC-20, snapshot sald z momentu ataku, airdrop 1:1 oraz fundusz kompensacyjny dla trudniejszych przypadków.

Czym jest Humanity Protocol?

Humanity Protocol to projekt z obszaru proof of humanity, czyli technologii pozwalającej potwierdzić, że dana osoba jest prawdziwym człowiekiem, a nie botem, farmą kont czy automatem AI.

W praktyce chodzi o infrastrukturę cyfrowej tożsamości dla świata Web3. Tego typu rozwiązania mogą być wykorzystywane m.in. w airdropach, głosowaniach DAO, mediach społecznościowych, grach, usługach finansowych czy aplikacjach wymagających ochrony przed Sybil attack, czyli tworzeniem wielu fałszywych tożsamości przez jedną osobę.

Humanity Protocol często porównuje się do Worldcoin, ale oba projekty różnią się podejściem do biometrii. Worldcoin kojarzy się przede wszystkim ze skanowaniem tęczówki oka. Humanity Protocol stawia natomiast na skany dłoni oraz technologię zero-knowledge proofs, czyli ZKP.

Celem jest stworzenie systemu, w którym użytkownik może udowodnić, że jest człowiekiem, ale bez ujawniania pełnych danych osobowych.

Co dokładnie wydarzyło się 8 czerwca?

Do ataku doszło 8 czerwca 2026 roku około godziny 17:25 UTC. Według informacji publikowanych przez projekt oraz firmy analizujące incydent, źródłem problemu było przejęcie kluczy prywatnych z komputera jednego z członków zespołu.

Klucze miały znajdować się w backupie, który trafił na urządzenie podczas wcześniejszych prac związanych z uruchomieniem infrastruktury projektu. Komputer został zainfekowany malware’em. Według dostępnych ustaleń scenariusz mógł zacząć się od phishingu, czyli fałszywej wiadomości podszywającej się pod zaufany podmiot.

Po uzyskaniu dostępu do kluczy atakujący mogli wykonać operacje, które z punktu widzenia blockchaina wyglądały jak działania uprawnionego administratora.

Na Ethereum doszło do złośliwej aktualizacji kontraktu mostu i wyprowadzenia ok. 141 mln tokenów H. Na BNB Smart Chain hakerzy uzyskali z kolei możliwość mintowania dodatkowych tokenów.

Według analiz łącznie skradziono lub nieautoryzowanie wyemitowano setki milionów tokenów H. Część z nich była następnie sprzedawana na zdecentralizowanych giełdach, co wywołało silną presję podażową i gwałtowny spadek ceny.

To nie był błąd w kodzie, tylko błąd w bezpieczeństwie operacyjnym

Ta sprawa jest szczególnie ciekawa, bo nie wygląda na klasyczny exploit smart kontraktu. W wielu atakach DeFi haker wykorzystuje lukę w logice kontraktu, błąd w wycenie aktywów, problem z oracle’em albo źle zaprojektowany mechanizm pożyczek flash loan.

Tutaj problem był inny. Atakujący zdobyli klucze prywatne, czyli cyfrowe „uprawnienia” pozwalające kontrolować krytyczne elementy projektu.

To ważna różnica. Jeżeli haker ma poprawne klucze, ma jednocześnie pełne uprawnienia prawdziwego administratora. Transakcja jest technicznie poprawna, podpis się zgadza, a szkoda dzieje się na poziomie zarządzania dostępem.

Właśnie dlatego w krypto tak dużo mówi się o multisigach, cold storage, hardware walletach i separacji kluczy. Multisig ma sens tylko wtedy, gdy klucze są naprawdę rozproszone. Jeśli kilka kluczy potrzebnych do autoryzacji znajduje się na jednym urządzeniu lub w jednym backupie, zabezpieczenie staje się iluzją.

Humanity Protocol ogłasza plan ratunkowy

We wtorek 16 czerwca Humanity Protocol przedstawiło plan odbudowy ekosystemu po ataku. Najważniejsza decyzja: stary token H zostanie wygaszony na Ethereum, BNB Smart Chain oraz Humanity Mainnet.

W jego miejsce pojawił się nowy token H jako audytowany kontrakt ERC-20 na Ethereum. Nowy adres kontraktu to:

0xE76c5b78f93909d34404E9eb4C1f19e7582a5dE1

Projekt zapowiedział, że uprawnieni posiadacze starego H otrzymają nowy token w stosunku 1:1. Podstawą dystrybucji będzie snapshot wykonany w momencie ataku, czyli 8 czerwca 2026 roku o 17:25:35 UTC.

Snapshot objął salda na Ethereum, BNB Smart Chain oraz Humanity Mainnet. Adresy powiązane z atakującym mają zostać wykluczone z dystrybucji.

Dla zwykłych portfeli użytkowników proces powinien być względnie prosty. Jeśli ktoś miał H na własnym adresie przed snapshotem, powinien kwalifikować się do otrzymania nowego tokena.

Trudniejsze będą przypadki związane z DeFi, giełdami, pulami płynności i smart kontraktami.

H Compensation Fund, czyli fundusz dla trudniejszych przypadków

Humanity Protocol zapowiedziało również utworzenie H Compensation Fund. Ma on pomóc użytkownikom, których sytuacji nie da się łatwo rozwiązać przez zwykły airdrop.

Chodzi m.in. o osoby, które miały tokeny w liquidity poolach, protokołach DeFi, smart kontraktach albo zewnętrznych integracjach. Fundusz ma też objąć część użytkowników, którzy kupili H już po snapshocie i nadal posiadają tokeny.

W tym przypadku nie będzie jednak automatycznej rekompensaty. Projekt zapowiada weryfikację roszczeń, a w niektórych przypadkach również procedury KYC/AML. Wynika to m.in. z ustaleń dotyczących potencjalnych powiązań atakujących z grupami z Korei Północnej.

Dla użytkowników najważniejsza jest teraz ostrożność. Po takich incydentach bardzo często pojawiają się fałszywe strony do claimu, podrobione profile w mediach społecznościowych i scamowe linki w komentarzach.

Jeżeli ktoś posiadał lub nadal posiada H, powinien korzystać wyłącznie z oficjalnych kanałów Humanity Protocol albo komunikatów giełdy, na której trzymał tokeny.

Co z giełdami i Humanity Mainnet?

Humanity Protocol deklaruje, że współpracuje z giełdami scentralizowanymi, dostawcami płynności, mostami i partnerami ekosystemu. To ważne, bo migracja tokena nie dotyczy wyłącznie osób trzymających H na prywatnych portfelach.

Jeżeli tokeny były na giełdzie, użytkownik powinien śledzić komunikaty konkretnej platformy. To giełda zdecyduje, czy i w jaki sposób wesprze migrację, kiedy wznowi depozyty i wypłaty oraz jak potraktuje handel starym i nowym H.

Projekt zapowiedział też restart Humanity Mainnet w najbliższych tygodniach. Nowy token H ma pełnić funkcję natywnego gas tokena w tej sieci.

To będzie ważny test dla Humanity Protocol. Sam airdrop nie wystarczy, aby odbudować zaufanie. Rynek będzie patrzył, czy projekt potrafi sprawnie przywrócić infrastrukturę, uporządkować integracje i pokazać, że podobny błąd nie powinien się powtórzyć.

Czy Humanity Protocol ma szansę wrócić do żywych po takim ataku?

Z jednej strony reakcja zespołu jest relatywnie szybka i konkretna. Humanity Protocol nie ograniczyło się do krótkiego komunikatu, ale przedstawiło plan: nowy kontrakt, snapshot, airdrop 1:1, fundusz kompensacyjny i restart mainnetu.

To lepszy scenariusz niż w przypadku wielu projektów, które po dużych exploitach komunikują się chaotycznie albo próbują przerzucać odpowiedzialność.

Z drugiej strony problem jest poważny. Humanity Protocol działa w obszarze cyfrowej tożsamości, prywatności i zaufania. Jeżeli projekt budujący infrastrukturę proof of humanity traci kontrolę nad krytycznymi kluczami, to jest to cios nie tylko finansowy, ale też wizerunkowy.

Największym wyzwaniem nie będzie więc samo stworzenie nowego tokena. Największym wyzwaniem będzie przekonanie użytkowników, inwestorów, giełd i partnerów, że procedury bezpieczeństwa zostały realnie poprawione.

Rynek będzie chciał zobaczyć odpowiedzi na kilka pytań. Jak przechowywane są teraz klucze? Czy multisigi zostały przebudowane? Czy wprowadzono lepszą separację uprawnień? Czy projekt przeszedł niezależny audyt bezpieczeństwa operacyjnego, a nie tylko audyt kodu?

Bez tego nowy token może rozwiązać problem techniczny, ale nie rozwiąże problemu zaufania.

Lekcja dla rynku krypto

Hack Humanity Protocol przypomina, że w Web3 bezpieczeństwo nie kończy się na smart kontraktach. Audyt kodu jest ważny, ale nie ochroni projektu, jeśli krytyczne klucze prywatne są przechowywane w zły sposób.

To szczególnie istotne w projektach, które kontrolują mosty, mają uprawnienia administracyjne, zarządzają dużą płynnością albo obsługują wiele sieci jednocześnie. Im więcej zależy od kilku kluczy, tym większe ryzyko, że jeden błąd człowieka doprowadzi do katastrofy.

Dla użytkowników wniosek jest równie prosty: w krypto trzeba patrzeć nie tylko na narrację, inwestorów i technologię, ale też na sposób zarządzania projektem. Czasami największym ryzykiem nie jest haker szukający błędu w kodzie, tylko źle zabezpieczony laptop, backup albo seed phrase.

Humanity Protocol ma jeszcze szansę odbudować projekt. Ma aktualną narrację, konkretny segment rynku i plan naprawczy. Ale po takim incydencie zaufania nie odzyskuje się obietnicami. Odzyskuje się je wykonaniem planu, transparentnością i pokazaniem, że ten sam błąd nie może wydarzyć się drugi raz.

Indeks Strachu i Chciwości