Humanity Protocol: H-Token stürzt nach Private-Key-Kompromittierung ab – Schaden rund 36 Mio. US-Dollar

Der Kurssturz des H-Tokens von Humanity Protocol reiht sich in die aktuelle Serie von DeFi-Sicherheitsvorfällen ein und zeigt ein bekanntes Grundproblem der Branche: die Kontrolle über Schlüssel und Admin-Rechte. Das Projekt positioniert sich als datenschutzorientierte Identitätsinfrastruktur mit Handflächen-Biometrie, Zero-Knowledge-Proofs, dezentralen Identifikatoren und verifizierbaren Credentials. Auslöser der aktuellen Krise war laut Teamangaben jedoch nicht die Kryptografie, sondern die operative Ebene aus Endgeräten, Private Keys, Bridge-Berechtigungen, Liquidität und der Reaktion von Börsen. In einem Incident-Update erklärte Humanity, der Angriff vom 8. Juni 2026 habe Aktivitäten rund um den H-Token auf Ethereum und BNB Smart Chain betroffen. Ausgangspunkt sei ein kompromittierter Mitarbeiter-Laptop gewesen. Dadurch seien Owner-Keys eines Gnosis Safe offengelegt worden, die mit der ProxyAdmin-Instanz einer Hyperlane-Bridge verknüpft waren. In der Folge seien Token im Gegenwert von etwa 36 Mio. US-Dollar entwendet und am Markt verkauft worden. Zudem habe es Token-Bewegungen von rund 141,2 Mio. H auf Ethereum gegeben, während auf der BNB Smart Chain 200 Mio. H neu geprägt worden seien. On-Chain-Beobachter hatten zuvor bereits Abflüsse von über 30 Mio. US-Dollar gemeldet und mindestens 17 Wallets genannt, die mit Humanity Protocol in Verbindung standen oder damit interagierten. Zum Zeitpunkt der Veröffentlichung notierte H bei 0,17 US-Dollar, ein Minus von 76% binnen 24 Stunden. Die Marktkapitalisierung wurde mit 476 Mio. US-Dollar angegeben, das 24-Stunden-Handelsvolumen mit 533 Mio. US-Dollar. Humanity betonte, die bislang veröffentlichten Erkenntnisse lieferten keinen Beleg dafür, dass biometrische Daten oder personenbezogene Informationen (PII) von Nutzern entwendet wurden. Im Zentrum stünden Wallet-, Bridge- und Admin-Berechtigungen. Diese Unterscheidung ist für ein Projekt, das Vertrauen in eine Identitäts-Schicht verspricht, dennoch brisant: Ein Zero-Knowledge-Ansatz kann zwar die Offenlegung von Nutzerinformationen minimieren, ersetzt aber nicht die Pflicht, die Schlüssel abzusichern, die Bridges, Liquidität, Admin-Rollen und Minting-Rechte kontrollieren. Parallel warnte das Team Nutzer, vorerst nicht mit der Bridge oder den Liquiditätspools des Projekts zu interagieren, während man mit Sicherheitsfirmen und Börsenpartnern an der Eindämmung arbeite. Gründer Terence Kwok führte den Vorfall ebenfalls auf kompromittierte Private Keys eines Mitglieds der Humanity Foundation zurück. Damit rückte weniger ein generischer Smart-Contract-Exploit in den Fokus, sondern ein Operational-Security-Ausfall mit potenziellen Folgen für das Token-Angebot. Die bislang bestätigten Eckpunkte des öffentlichen Sachstands: - Angriffstag: 8. Juni 2026 - Ausgangspunkt: kompromittierter Mitarbeiter-Laptop - Betroffene Kontrollschicht: offengelegte Gnosis-Safe-Owner-Keys mit Zugriff auf Hyperlane-Bridge ProxyAdmin - Schaden: laut Humanity rund 36 Mio. US-Dollar entwendet und verkauft - Token-Ereignisse: ca. 141,2 Mio. H auf Ethereum bewegt; 200 Mio. H auf BNB Smart Chain gemintet - Nutzerhinweis: keine Interaktion mit Bridge oder Liquiditätspools bis zur Entwarnung Der Markteinbruch wird damit nicht nur als Neubewertung, sondern als Risikoaufschlag auf Unsicherheiten rund um Token-Supply, Liquiditätsquellen, Bridge-Status und Wiederherstellungskontrollen nach der Behebung interpretiert. Besonders relevant sind für Börsen und Liquiditätsanbieter die Fragen, ob betroffene Autorisierungspfade vollständig deaktiviert, Schlüssel rotiert, Berechtigungen auditiert und die Maßnahmen unabhängig bestätigt wurden. Solange unautorisierte oder gestohlene Token im Umlauf sein könnten, muss der Markt mögliche Sperren, Rückholaktionen, Liquiditätslücken oder weitere Offenlegungen einpreisen. Die Zeitleiste bleibt zudem in Bewegung: Während frühe Berichte von mindestens 100 Mio. H auf der BNB Smart Chain ausgingen, nennt das spätere Update 200 Mio. H. Für Partner, die Identitätsintegrationen planen, verschärft ein Vorfall mit Bridge-Admin- und Minting-Komponente die Lage, weil Preis, Token-Schiene, Liquiditätsweg und Betreibervertrauen schwerer voneinander zu trennen sind. Humanity beschreibt sich in offiziellen Materialien als Identitätslayer mit biometrischem Onboarding (u. a. Palmprint-Erfassung und scannerbasierte Venenkartierung) und Zero-Knowledge-Proofs, die persönliche Daten vertraulich halten sollen. Der Vorfall unterstreicht dennoch, dass fortgeschrittene Kryptografie operatives Sicherheitsniveau nicht ersetzt: Laptops, Hardware-Wallets, Safe-Owner, Deployment-Keys, Bridge-Admins und Response-Prozesse bleiben zentrale Angriffsflächen. Wichtig bleibt: Auf Basis der bisherigen Angaben gibt es keine Grundlage für die Aussage, dass Handflächen-Scans, Identitäts-Credentials oder Nutzer-PII kompromittiert wurden. Der Mechanismus, wie er bisher offengelegt ist, betrifft Token-, Bridge-, Admin- und Custody-Kontrollen. Welche Version des Vorfalls sich am Ende durchsetzt, hängt von weiteren Details ab: Ein vollständiger Postmortem mit Transaktions-Hashes, betroffenen Contracts, dokumentierter Key-Rotation, Maßnahmen der Börsen, Bridge-Remediation und unabhängiger Sicherheitsprüfung könnte den Vorfall als schwerwiegenden, aber eingegrenzten operativen Fehler einordnen. Bleiben Fragen zur unautorisierten Prägung und zu Bridge-Kontrollen offen, droht eine länger anhaltende Token-Supply- und Cross-Chain-Vertrauenskrise für ein Projekt, das selbst als Vertrauensschicht im Identitätsbereich auftreten will.