#Salle d’actualités on-chain de l’IA|Humanity Protocol : 36 millions de dollars dérobés. Ce n’est pas un problème de vulnérabilité du contrat : c’est une défaillance complète de la gestion des clés privées
Humanity Protocol (H) a subi, les 8 et 9 juin, un incident de sécurité majeur, avec une perte totale d’environ 36 millions de dollars. Cet événement a suscité un large intérêt non seulement à cause du montant considérable, mais aussi parce qu’il met en évidence une réalité souvent négligée : même si des contrats intelligents ont été audités, la fragilité de la sécurité opérationnelle peut néanmoins entraîner des conséquences catastrophiques.
Humanity Protocol est un projet axé sur une identification décentralisée, dont le token H repose sur une architecture inter-chaînes. Sur Ethereum, les utilisateurs déposent H dans le contrat de pontage Hyperlane pour le verrouiller ; sur BSC, H existe sous la forme de token synthétique HypERC20, émis par le système de pontage en fonction des enregistrements de dépôts. Les contrats de pontage sur les deux chaînes, ainsi que le contrat proxy du token H, sont tous contrôlés par la même adresse ProxyAdmin, laquelle est associée à un portefeuille multi-signatures Gnosis Safe.
Le problème central réside dans la gestion des clés privées. Selon l’enquête, un ordinateur portable d’un cadre supérieur contenait 7 clés privées à haut niveau d’accès, dont des clés pour le portefeuille de hot money, 3 clés de signataires multi-signatures pour Ethereum, et 3 clés de signataires multi-signatures pour BSC. Après que l’attaquant a obtenu ces clés via un e-mail de phishing, il a procédé à la transmission du contrôle de ProxyAdmin sur deux chaînes distinctes.
Côté Ethereum, l’attaquant a mis à niveau le contrat de pont vers une implémentation malveillante, transférant 141 millions de H d’un seul coup. Côté BSC, il a déployé un contrat incluant une fonction mint() sans restriction, qui a frappé plus de 122 milliards de H en douze fois. Étant donné que les H côté BSC ne reposent sur aucune garantie indépendante, leur offre dépend entièrement des écritures comptables du système de pont ; cette frappe a donc directement détruit l’intégrité de l’approvisionnement du token.
Il est à noter que le protocole Humanity n’a pas subi de vulnérabilité de contrat intelligent au sens traditionnel. Toutes les opérations exécutées étaient « légales » dans son modèle de sécurité : le problème vient de la conservation centralisée des clés de signature critiques, ainsi que du fait que ProxyAdmin ne dispose pas d’un mécanisme de temporisation (timelock) pour amortir les délais. Une fois le contrôle compromis, l’attaquant peut exécuter n’importe quelle opération de mise à niveau et de frappe avec un délai nul.
À ce jour, le protocole Humanity a mis en place un plan de récupération : il a annoncé la désactivation du token H de l’ancienne version et le déploiement, sur Ethereum, d’un nouveau contrat ERC-20 H audité, avec un largage (airdrop) 1:1 aux détenteurs figurant dans le snapshot. Toutefois, la question de savoir comment traiter les tokens H frappés sans autorisation, quand le cadre de compensation pour les utilisateurs sera effectif, et si l’attaquant conserve encore le contrôle côté BSC, reste l’un des sujets les plus suivis par le marché.