Um único computador comprometido por malware foi suficiente para drenar US$ 36 milhões do Humanity Protocol — o laudo forense revela como o armazenamento inadequado de chaves privadas abriu caminho para o ataque.
O Humanity Protocol divulgou um relatório forense detalhando as causas do ataque que resultou na perda de aproximadamente US$ 36 milhões em criptoativos. A conclusão é direta e preocupante: um único desenvolvedor mantinha backups de sete chaves privadas em sua máquina pessoal, que foi infectada por malware.
Segundo a The Defiant, o laudo aponta que o invasor obteve acesso completo tanto à infraestrutura na rede Ethereum quanto na BNB Smart Chain do projeto. Com as sete chaves em mãos, o controle sobre os contratos e fundos era total — sem necessidade de explorar qualquer vulnerabilidade no código dos contratos inteligentes em si.
O caso expõe uma falha que vai além do técnico: trata-se de uma questão de gestão operacional de segurança. Manter múltiplas chaves privadas críticas em um único dispositivo conectado à internet — ainda que pertencente a um desenvolvedor de confiança — representa um risco concentrado que qualquer modelo sério de custódia busca eliminar.
Leia tambem: guia completo de Ethereum.
O que o laudo forense revelou
A investigação identificou que a máquina infectada pertencia a um membro da equipe técnica do protocolo. Nela, estavam armazenados arquivos de backup contendo as chaves privadas responsáveis por assinar transações e administrar contratos nas duas redes. O malware teria exfiltrado esses dados sem que a equipe percebesse a tempo.
A concentração de sete chaves em um único ponto de falha é o que os especialistas em segurança chamam de “single point of failure” — uma arquitetura que, quando comprometida em qualquer nível, derruba todas as camadas de proteção simultaneamente. Nenhuma das salvaguardas subsequentes pôde agir porque o atacante já tinha acesso de mais alto nível.
Malware instalado no computador de um desenvolvedor exfiltrou backups de sete chaves privadas armazenadas localmente no dispositivo.
As chaves comprometidas davam controle sobre a infraestrutura do protocolo tanto na rede Ethereum quanto na BNB Smart Chain.
O ataque resultou na perda de aproximadamente US$ 36 milhões em criptoativos, segundo dados divulgados pelo próprio protocolo.
Ausência de segmentação no armazenamento de chaves: múltiplas credenciais críticas concentradas em um único ponto de falha.
Lições para o setor
O incidente reacende o debate sobre as práticas de custódia e gerenciamento de chaves privadas em projetos de protocolo. A recomendação padrão da indústria há anos é o uso de soluções de assinatura multisig, hardwares dedicados (HSMs) e políticas rígidas de separação de responsabilidades — justamente para evitar que um único ponto comprometido derrube toda a operação.
O problema não estava no contrato — estava na gaveta
O laudo do Humanity Protocol não identificou falhas nos contratos inteligentes em si. O ataque foi possível porque as chaves que os controlavam estavam acessíveis em texto simples em um dispositivo comprometido. Isso demonstra que auditorias de código, por mais rigorosas que sejam, não substituem boas práticas de segurança operacional.
Para projetos que operam com volumes expressivos de recursos onchain, a adoção de hardware security modules (HSMs), políticas de acesso com múltiplos signatários e auditorias periódicas de dispositivos usados pela equipe deixou de ser opcional — e casos como este reforçam esse argumento de forma contundente.
📰 Fonte
As informações deste artigo são baseadas no relatório forense divulgado pelo Humanity Protocol e reportadas originalmente pela The Defiant. O KriptoHoje reescreveu e contextualizou o conteúdo de forma independente.
Importante: não damos recomendação de investimento
Este conteúdo tem caráter exclusivamente informativo e educacional. O KriptoHoje não é consultor de investimentos e não recomenda a compra, venda ou manutenção de qualquer ativo. Investimento em criptoativos envolve risco elevado de perda total.
Suas chaves privadas estão seguras?
A KriptoBR, integrante do mesmo grupo do KriptoHoje, é a maior e mais antiga revenda oficial de hardware wallets do mundo. Trezor, Ledger, SecuX, Yubico e Key-ID.
Mais de 600 mil clientes atendidos em 32 países. Envio direto do Brasil, garantia do fabricante, suporte técnico em português.
Leituras relacionadas
🛡️ Maiores hacks do DeFiUm panorama dos ataques mais expressivos ao ecossistema de finanças descentralizadas e o que cada um revelou sobre segurança em blockchain.
⚙️ O que é multisig e como funcionaCarteiras com assinatura múltipla distribuem o controle entre diferentes partes, reduzindo riscos de comprometimento de um único ponto.
Este conteúdo é de caráter informativo e não constitui recomendação de investimento. Criptomoedas são ativos voláteis; consulte um profissional antes de investir.