« Identité décentralisée » : un projet ruiné par une seule clé privée – Analyse détaillée de l’incident de sécurité de 31 millions de dollars sur Humanity Protocol
TechFlow SélectionTechFlow Sélection
« Identité décentralisée » : un projet ruiné par une seule clé privée – Analyse détaillée de l’incident de sécurité de 31 millions de dollars sur Humanity Protocol
Le jeton H a chuté de 90 % : les pirates étaient-ils trop rapides, ou la coïncidence était-elle trop parfaite ?
Dédié à des analyses Web3 approfondiesAuteur : Claude, TechFlow
Introduction de TechFlow : Le projet d’identité décentralisée Humanity Protocol a subi aujourd’hui un grave incident de sécurité : la fuite des clés privées d’un membre de la fondation a permis à un attaquant de vider plus de 17 portefeuilles associés, entraînant des pertes supérieures à 31 millions de dollars américains.
L’attaquant a également émis 100 millions de jetons $H supplémentaires sur BNB Chain et les vend continuellement ; le cours du jeton est ainsi passé de près de 0,73 dollar à environ 0,05 dollar. L’enquêteur blockchain ZachXBT a publiquement remis en cause l’incident, le qualifiant de « possible mise en scène », tandis que la communauté pointe du doigt le passé sulfureux du fondateur Terence Kwok, qui avait déjà dissipé 170 millions de dollars issus des fonds d’investisseurs dans une précédente entreprise.
Le jeton $H d’Humanity Protocol a connu, au cours des dernières 12 heures, un effondrement dévastateur.
Selon The Block et plusieurs autres médias, dans la nuit du 9 juin 2026 (UTC), l’analyste blockchain Specter a été le premier à détecter des vols systématiques affectant des portefeuilles liés à Humanity Protocol. Le fondateur Terence Kwok a ensuite confirmé publiquement sur X qu’une clé privée appartenant à un membre de la Humanity Foundation avait été compromise, permettant à l’attaquant de prendre le contrôle de plusieurs portefeuilles associés à la fondation.
À l’heure de la rédaction de cet article, les données de CoinGecko indiquent une baisse de près de 89 % sur 24 heures pour $H, passant d’environ 0,73 dollar avant l’incident à environ 0,13 dollar, avec un creux intrajournalier atteint à 0,05 dollar. L’évaluation entièrement diluée du projet est passée d’environ 7,3 milliards de dollars à environ 1,2 milliard de dollars.
17 portefeuilles vidés ; 100 millions de jetons émis sur BSC
Les données blockchain révèlent que l’attaquant a dérobé des fonds depuis au moins 17 portefeuilles détenant des jetons $H. Les pertes totales, initialement estimées à 5 millions de dollars, se sont rapidement accrues pour dépasser 31 millions de dollars. Selon les données suivies par Specter, citées par DropsTab, environ 23,7 millions de dollars ont déjà été échangés contre de l’ETH, tandis que près de 7,9 millions de dollars restent détenus sous forme de jetons $H.
Une opération encore plus destructrice a été menée sur BNB Chain. L’organisme de sécurité Blockaid a détecté que l’attaquant avait acquis les droits d’administration du proxy des jetons $H sur BSC, puis, entre 02h02 et 02h09 UTC, a frappé 100 000 005 jetons $H supplémentaires depuis une adresse nulle (null address), soit une valeur estimée à environ 11,4 millions de dollars au moment de la frappe. Ces nouveaux jetons ont immédiatement été vendus via des DEX comme PancakeSwap et Kyber Network afin d’obtenir des BNB, accentuant davantage la pression vendeuse.
Selon Cointelegraph, Arkham Intelligence a déjà étiqueté les adresses concernées comme appartenant à l’entité « Humanity Protocol Exploiter » ; le suivi blockchain se poursuit activement. Humanity a demandé à tous ses utilisateurs de suspendre toute interaction avec les ponts cross-chain et les pools de liquidité, et recommande de révoquer toutes les autorisations accordées aux contrats d’Humanity Protocol.
ZachXBT met ouvertement en doute l’incident : « Il pourrait s’agir d’une mise en scène »
Si l’incident a officiellement été qualifié de « fuite de clé privée », cette explication est désormais contestée publiquement par des enquêteurs blockchain.
Le célèbre détective blockchain ZachXBT a publié, dès la divulgation de l’incident, un message affirmant : « L’incident semble être une mise en scène (possibly staged) ; je ne crois pas à la version donnée par l’équipe. » Il souligne trois éléments suspects : les jetons $H ont été vendus exclusivement sur des DEX plutôt que sur des CEX, ce qui contredit les schémas habituels de transfert de fonds après une attaque ; par ailleurs, trois membres clés de l’équipe ont déjà fait l’objet de poursuites judiciaires, d’accusations de fraude financière ou de mauvaise gestion.
L’analyste indépendant Elton fournit des indices techniques plus précis dans son analyse blockchain : le portefeuille de l’attaquant avait reçu des fonds plusieurs semaines avant l’incident, les droits de frappe étaient déjà « préchauffés » et prêts à être utilisés, et les ventes effectuées sur les deux blockchains présentent des traces de coordination. Selon Elton, ces comportements « correspondent à ceux d’un acteur interne ou d’un attaquant externe détenant depuis longtemps une clé privée compromise ».
Cependant, ces mises en doute demeurent pour l’instant purement spéculatives, aucune preuve concrète n’ayant encore été apportée pour confirmer une implication interne. Aucun rapport officiel post-incident n’a encore été publié par l’équipe d’Humanity.
Une coïncidence troublante : accumulation institutionnelle récente, déverrouillage imminent, « hacker » arrivé juste à point nommé
Le centre des interrogations communautaires porte sur la chronologie précise de l’incident.
Comme l’avait relevé auparavant l’analyste blockchain Ai Yi (@ai_9684xtpa), seulement quatre jours avant l’incident (le 5 juin), une adresse liée au prestataire de services de garde d’actifs numériques Hex Trust avait acheté, en l’espace de quatre heures, 72,23 millions de jetons $H, pour une valeur d’environ 42 millions de dollars, soit 2,55 % de l’offre en circulation. Cet achat intervient juste après la révision, en avril, du calendrier de déverrouillage des jetons par la Humanity Foundation : ce nouveau plan autorise les investisseurs précoces à retirer leurs jetons en une seule fois, avec une décote de 70 %, à compter du 26 juin.
Ai Yi a commenté, après l’incident, que l’entité liée à Hex Trust venait juste d’effectuer une importante accumulation, que le déverrouillage était imminent, et que le projet procédait même à des rachats hors chaîne — et voilà qu’un piratage survient, faisant chuter le cours de $H sur la blockchain à presque zéro.
Selon les données de CryptoRank, le volume de jetons $H prévu pour déverrouillage en juin s’élève à environ 72,4 millions de dollars, constituant ainsi le deuxième plus important événement de déverrouillage du mois.
Bien que ces coïncidences ne permettent pas de tirer de conclusion définitive, elles suffisent amplement à expliquer pourquoi la confiance de la communauté a été gravement ébranlée.
Un passé sulfureux du fondateur : Tink Labs, levée de 170 millions de dollars puis liquidation
La crise de confiance autour d’Humanity Protocol ne commence pas aujourd’hui.
Comme l’indique un article de KuCoin News citant Odaily Planet Daily, Terence Kwok, alors âgé de 20 ans, a fondé à Hong Kong la société de location de smartphones Tink Labs. Cette dernière a levé environ 170 à 200 millions de dollars auprès d’investisseurs tels que Foxconn, SoftBank et Innovation Works, atteignant une valorisation de 1,5 milliard de dollars et devenant ainsi la première licorne de Hong Kong.
Toutefois, la société a enregistré des pertes continues à partir de 2017 ; en juillet 2019, plus de 100 employés européens n’avaient pas reçu leur salaire, et la société a fermé officiellement le 1er août 2019, avant d’entrer en liquidation judiciaire en janvier 2020. Selon le Financial Times, un ancien responsable des ressources humaines aurait déclaré que Kwok ne s’intéressait qu’à « faire de l’argent », et que les 170 millions de dollars issus des investisseurs avaient « totalement disparu ».
Six ans plus tard, Kwok revient sur le marché avec Humanity Protocol, capitalisant sur la narration autour de l’« identité décentralisée » combinant reconnaissance par empreinte digitale et preuves à connaissance nulle, et obtient à nouveau une valorisation de licorne (environ 1,1 milliard de dollars), grâce à un tour de financement mené par Pantera Capital et Jump Crypto.
Une enquête citée par HTX Insights mentionne également que Mario Nawfal, directeur de la fondation, a été accusé par le passé de non-paiement de salaires, de financement irrégulier et de harcèlement de dénonciateurs. ZachXBT note que trois des quatre dirigeants principaux de l’équipe présentent des antécédents controversés.
L’équipe développe déjà un nouveau projet baptisé « Everything », renforçant les soupçons communautaires
Selon des rapports publics, l’équipe centrale d’Humanity participe déjà à un nouveau projet nommé « Everything ».
Everything a bouclé, le 26 janvier, un tour de financement amorçage de 6,9 millions de dollars, mené par Humanity Investments (la branche de capital-risque d’Humanity), avec la participation d’Animoca Brands, Hex Trust, Jamie Rogozinski (fondateur de WallStreetBets) et Three Point Capital.
Cette information a été redécouverte par la communauté après l’effondrement de $H. Certains y voient une hypothétique stratégie de sortie délibérée, consistant à abandonner l’ancien projet pour concentrer les ressources sur le nouveau. Bien qu’aucune preuve blockchain ne vienne étayer cette hypothèse, le fait qu’Humanity Investments ait directement mené le tour de financement d’Everything renforce objectivement la perception d’un conflit d’intérêts.
Une négligence dans la gestion des clés privées, ou une action intentionnelle ?
Comme le rapporte CoinDesk, cet incident suit le modèle dominant des incidents de sécurité dans le secteur cryptographique en 2026 : les pertes les plus importantes proviennent de clés privées volées, et non de vulnérabilités dans le code des contrats intelligents. Selon les données de CCN, les pertes dues aux attaques DeFi ont déjà dépassé 1 milliard de dollars au cours des quatre premiers mois de 2026, et la majeure partie des fonds volés n’a pas encore été récupérée.
Il est profondément ironique qu’un projet dont la narration centrale repose sur la « vérification d’identité décentralisée » subisse un coup dévastateur à cause de la fuite d’une simple clé privée. Blockaid a confirmé que cette attaque n’implique aucune vulnérabilité de contrat intelligent ni aucun défaut structurel de sécurité au niveau du protocole, mais résulte purement d’une défaillance dans la gestion des clés.
À l’heure de la rédaction, le contrat perpétuel $H/USDT sur Binance est coté environ 0,068 dollar (baisse de près de 91 %), tandis que le marché spot sur Bybit affiche environ 0,15 dollar, révélant une forte désynchronisation des cours entre plateformes. Le chiffre d’affaires agrégé sur 24 heures s’élève à environ 599 millions de dollars, soit près de 2,7 fois la capitalisation boursière en circulation : il s’agit donc d’un réajustement forcé des prix lié à l’événement, et non d’un volume normal de rotation.
L’incident est toujours en cours d’évolution. L’adresse de l’attaquant conserve encore une partie des jetons $H, et la manière dont seront traités les jetons supplémentaires frappés sur BSC reste incertaine. Avant que ces questions essentielles ne reçoivent des réponses vérifiables sur la blockchain, la nature exacte de ce traitement demeure imprécise.
Cependant, davantage de données blockchain montrent que les opérations menées depuis l’adresse dont la clé privée a été compromise sont difficilement compatibles avec une simple erreur. L’analyste blockchain Yu Jin observe notamment que :
Outre les 100 millions de jetons $H supplémentaires frappés par l’attaquant, les plus de 200 millions de jetons $H vendus dans les heures précédentes provenaient de près de 300 portefeuilles ayant reçu leurs jetons soit lors d’un déverrouillage intervenu il y a deux semaines, soit il y a 11 mois ; par ailleurs, ces portefeuilles avaient tous reçu des fonds destinés aux frais de transaction (gas) depuis Gate et Bybit trois semaines avant l’incident.
Aucun rapport officiel post-incident d’Humanity Protocol n’a encore été publié. Avant que des réponses vérifiables sur la blockchain ne soient fournies à ces questions, toute qualification définitive de l’incident comme « attaque de pirate » serait prématurée.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
