Tre chiavi su sei. È bastato questo, l'8 giugno 2026, per prendere il controllo di Humanity Protocol e portare via oltre 36 milioni di dollari. Il token H è crollato di quasi il 90% in poche ore. La parte assurda è che il colpo non ha sfruttato un bug nel codice. Ha sfruttato un laptop.
Humanity Protocol non è un progetto qualsiasi. È una blockchain layer-2 per l'identità decentralizzata, rivale del World di Sam Altman, che al posto delle iridi scansiona il palmo della mano con prove a conoscenza zero. Aveva raccolto 50 milioni e una valutazione da 1,1 miliardi, con Pantera Capital e Animoca Brands tra i sostenitori. Una settimana fa H viaggiava vicino ai massimi storici. Poi il vuoto.
Cosa è successo, in concreto
La ricostruzione del team è quasi imbarazzante nella sua semplicità. Il laptop di un membro della Humanity Foundation custodiva più chiavi amministrative dei bridge, tutte sullo stesso dispositivo. Compromesso quello, l'attaccante ha avuto in mano tre delle sei chiavi su Ethereum e tre delle cinque su BNB Chain.
Ha trasferito la proprietà del contratto a un proprio wallet, sostituito il codice del bridge con una versione malevola, drenato 141,2 milioni di H in una sola transazione e coniato dal nulla altri 200 milioni di token. Gran parte del bottino, circa 23,7 milioni, è finita subito in Ether, venduta su exchange decentralizzati come KyberSwap e PancakeSwap.
We're aware of a security incident involving the compromise of private keys belonging to a member of the Humanity Foundation. The safety of our community is our top priority, and we want to be fully transparent about what we know.
— Humanity (@Humanityprot) June 9, 2026
As a precaution, please do NOT interact with the…
Il fondatore Terence Kwok ha confermato la violazione su X, ha definito la sicurezza della community la priorità e ha invitato a non interagire con i bridge mentre il team lavora con società di sicurezza ed exchange.
Qui la storia si sdoppia, e la seconda versione è più scomoda della prima. L'investigatore on-chain ZachXBT non crede al racconto del team. Nota che tutto l'H è stato venduto su DEX e non su exchange centralizzati, un comportamento atipico per un furto vero, e punta il dito sulla concentrazione del supply nelle mani di pochi.
The “incident” seems possibly staged I am not buying the teams story it’s a convenient way for the active MM to have exited https://t.co/rLrVCaB01u pic.twitter.com/lDMkylj4jE
— ZachXBT (@zachxbt) June 9, 2026
"Non sto bevendo la storia del team", ha scritto, parlando di un modo comodo per far uscire il market maker attivo. Ha anche chiesto al progetto di rivelare eventuali accordi con un market maker. Il tempismo non aiuta: il colpo è arrivato a poche settimane dallo sblocco di token in programma per il 25 giugno. Furto esterno o uscita orchestrata, per chi deteneva H il risultato è identico. Sul piano della fiducia, invece, cambia tutto.
Cosa cambia davvero
Il dato che conta non è la cifra, è il modello. Nel 2026 gli hack DeFi hanno già superato gli 885 milioni di dollari in sei mesi, e i colpi più grossi non nascono da codice difettoso ma da chiavi rubate. Drift ha perso circa 285 milioni ad aprile, Kelp DAO circa 292 nello stesso mese. Il multisig nella DeFi esiste proprio per evitare tutto questo: distribuire le chiavi su persone e dispositivi diversi, così che nessuna macchina da sola possa muovere i fondi.
Tenerle su un solo laptop ne annulla lo scopo, esattamente come avevamo visto con i bridge crypto sotto assedio. È lo stesso anello umano debole che ritorna nei nuovi exploit assistiti dall'AI e nei test di Anthropic sugli smart contract, e che pesa sui token costruiti sulla narrativa di identità e intelligenza artificiale.
La frontiera del rischio si è spostata. Non è più la qualità del codice. Sono le abitudini di chi custodisce le chiavi. Il codice migliora ogni anno. Le procedure, troppo spesso, no.
