Protokol identitas terdesentralisasi Humanity Protocol pada 10 Juni mengumumkan di X bahwa mereka sedang menyusun rencana pemulihan dana untuk semua pengguna yang terdampak serangan, serta membuat halaman pelacakan real-time bagi alamat penyerang dan transfer dana lanjutan. Pihak resmi juga memberi hadiah 1 juta USDT, mengumpulkan petunjuk yang valid untuk dana yang bisa dipulihkan. Pada 9 Juni, Humanity mengungkap bahwa dana yang dicuri dan dijual senilai sekitar 36 juta dolar AS secara total di dua rantai.
Langkah penanganan yang telah dikonfirmasi secara resmi
Tindakan yang dikonfirmasi Humanity Protocol pada 10 Juni 2026 di platform X:
· Sedang menyusun rencana pemulihan dana untuk semua pengguna yang terdampak
· Telah menetapkan alamat penyerang dan halaman pelacakan real-time transfer dana lanjutan, berbagi dengan bursa terpusat maupun terdesentralisasi serta agregator, dan terus diperbarui
· Memberi hadiah 1 juta USDT untuk mengumpulkan petunjuk yang valid guna memulihkan dana
· Menyatakan bahwa semua dana yang berhasil dipulihkan akan digunakan untuk pembelian kembali token H
Fungsi pengisian saldo dan penarikan pada jembatan yang terdampak telah dihentikan sementara, sementara penyelidikan masih berlangsung (konfirmasi dari CoinGape). Halaman tim di situs resmi Humanity Protocol telah dihapus setelah serangan terjadi.
Akar penyebab serangan: celah keamanan pada cadangan kunci private multi-signature
Pernyataan yang dikonfirmasi pendiri Humanity Protocol, Guo Rongjing, dalam Telegram:
Dompet multi-signature pada awalnya diatur oleh empat orang. Dalam proses pengaturannya, sebagian kunci secara tidak sengaja dicadangkan ke satu perangkat yang telah disusupi. Pernyataan asli Guo Rongjing dalam laporan CoinDesk adalah: “Dalam proses pengaturan, beberapa kunci secara tidak sengaja dicadangkan ke perangkat yang telah disusupi. Untuk beberapa kontrak, kunci multi-signature diatur secara terpusat di satu tempat lalu didistribusikan kembali, namun sayangnya cadangan kunci berada pada perangkat yang telah disusupi.”
Meski desain multi-signature mengharuskan persetujuan beberapa kunci untuk menjalankan operasi, karena beberapa cadangan kunci disimpan pada perangkat yang sama yang telah disusupi, penyerang setelah menerobos satu mesin saja langsung memperoleh jumlah otorisasi yang cukup. Penyidik blockchain ZachXBT mengonfirmasi bahwa kebocoran kunci kali ini tidak memiliki kaitan langsung dengan masalah market making token H.
Detail teknis serangan lintas dua rantai: langkah operasi yang telah dikonfirmasi
Jembatan Ethereum (dikonfirmasi berdasarkan pengungkapan resmi Humanity Protocol): Penyerang memperoleh 3 dari 6 kunci akun administrator jembatan Ethereum. Setelah memperoleh kendali, mereka mengganti kode jembatan dengan kode berbahaya, sekitar 141 juta token H dipindahkan dalam satu transaksi.
Jembatan BNB Chain (dikonfirmasi berdasarkan pengungkapan resmi Humanity Protocol): Penyerang memperoleh 3 dari 5 kunci konfigurasi jembatan BNB Chain, menyuntikkan perangkat lunak berbahaya yang memiliki fungsi pencetakan tanpa batas, dan hampir 200 juta token H langsung dicetak ke dompet penyerang.
Data konfirmasi harga token H: Beberapa minggu sebelum serangan, harga naik dari sekitar 0,20 dolar AS menjadi sekitar 0,70 dolar AS; selama periode serangan mencapai titik terendah sekitar 0,05 dolar AS; hingga saat laporan, sudah kembali ke sekitar 0,20 dolar AS.
Pertanyaan yang sering diajukan
Apa syarat spesifik hadiah 1 juta USDT Humanity Protocol?
Berdasarkan pernyataan Humanity Protocol di platform X, syarat hadiah adalah memberikan petunjuk yang valid untuk dana hasil pencurian yang bisa dipulihkan. Pihak resmi tidak mencantumkan dalam pengumuman proses pengiriman petunjuk atau standar penilaiannya secara rinci. Halaman pelacakan terkait telah dipublikasikan, dan dibagikan dengan berbagai bursa utama serta agregator.
Apa celah teknis mendasar dari serangan kali ini?
Berdasarkan pernyataan Telegram pendiri Guo Rongjing, sumber celah berasal dari cadangan kunci private multi-signature pada perangkat karyawan. Desain multi-signature seharusnya mengharuskan beberapa kunci agar bisa menjalankan operasi, namun karena beberapa kunci dicadangkan ke perangkat yang sama yang telah disusupi, penyerang setelah menerobos satu perangkat langsung memperoleh otorisasi yang cukup.
Bagaimana status terkini fungsi jembatan token H?
Berdasarkan laporan CoinGape, fungsi pengisian saldo dan penarikan pada jembatan yang terdampak serangan saat ini telah dihentikan sementara, dan penyelidikan masih berlangsung. Pihak resmi belum mengumumkan jadwal rinci untuk pemulihan fungsi jembatan.
