TechFlow 보도에 따르면, 6월 14일 인류재단(Humanity)이 공개한 Quantstamp의 독립 조사 보고서에 따르면, 공격자는 한국 거래소 빗썸(Bithumb)을 사칭한 피싱 이메일을 통해 프로젝트 이사회 이사와 연락을 취한 후, 악성 첨부 파일을 열도록 유도하여 피해자의 기기에 원격 제어용 트로이 목마를 설치했으며, 최종적으로 전체 데스크톱 제어 권한과 지갑의 개인 키를 탈취했다.
권한을 확보한 후 공격자는 이더리움 및 BNB 체인에서 각각 공격을 실행했다. 이더리움 측에서는 탈취한 키를 이용해 스마트 계약을 업그레이드하고 약 1.4118억 개의 H 토큰을 이체했으며, BNB 체인 측에서는 ProxyAdmin 계약을 장악해 신규 토큰을 발행했다. 탈취된 자산은 이후 약 8시간 동안 유니스왑(Uniswap) 및 팬케이크스왑(PancakeSwap)에서 지속적으로 매도되어 시장 유동성과 토큰 가격에 명확한 충격을 주었다.
보고서에 따르면 현재 이더리움 측 H 토큰 계약은 동결되었으며, 메인넷 브리지는 영향을 받지 않았다. 그러나 BNB 체인 상의 배포는 여전히 공격자에게 통제되고 있으며, 토큰 발행 권한도 그대로 유지되고 있다. 프로젝트 측은 거래소 및 보안 기관과 협력하여 후속 대응 및 복구 작업을 진행 중이며, 사용자들에게 각종 허위 보상 및 수령 링크에 대한 경계를 당부했다. 이전에 휴머니티 프로토콜(Humanity Protocol)은 재단 관계자의 개인 키 유출로 인해 3,100만 달러 이상의 자산이 유출된 바 있다.
