Ataque de phishing ao Humanity Protocol compromete tokens H e causa perda de US$ 36 milhões

O ataque ao Humanity Protocol não foi um acidente isolado, é o quarto grande comprometimento de chave administrativa em menos de três meses, todos com padrões operacionais semelhantes: phishing direcionado, uso de dispositivos pessoais para chaves críticas e exploração cruzada entre Ethereum e BSC. Diferente do hack da Kelp DAO (US$ 293 mi), que explorou uma falha na bridge LayerZero, ou do da Drift (US$ 285 mi), que abusou de durable nonce, este caso mostra como a engenharia social ainda é a ferramenta mais eficaz para contornar até as melhores auditorias de código. O invasor extraiu sete chaves privadas armazenadas desde junho de 2025, incluindo a carteira quente de admin e três signatários de Safe em cada cadeia, tudo a partir de um único clique em um ZIP malicioso no Windows de um diretor.

A assinatura técnica do ataque reforça a ligação com grupos ligados à Coreia do Norte: os certificados usados no malware e os padrões de movimentação de fundos coincidem com os observados no caso Drift e em ataques anteriores da Lazarus Group. Isso não é especulação: Quantstamp identificou correspondência em hashes de binários e sequências de chamadas de API típicas de campanhas atribuídas a Pyongyang. A diferença aqui é a escala operacional, o atacante não só drenou, mas também cunhou, controlou pontes e liquidou em duas DEXs simultaneamente, sem depender de nenhuma vulnerabilidade de contrato.

Em abril, a CEVIU já alertava que phishing via OAuth estava substituindo ataques baseados em credenciais tradicionais. Agora, vemos a evolução prática: o ataque ao Humanity usa phishing clássico (ZIP + domínio falso), mas com alvo ultra-específico e execução cross-chain orquestrada, algo que só foi possível porque as chaves estavam em um único dispositivo conectado à internet, sem HSM nem isolamento físico. Também mudou a resposta: enquanto a Drift tentou congelar transações com validadores multisig, o Humanity conseguiu congelar apenas o contrato Ethereum, a BSC foi declarada irrecuperável, forçando o abandono da implantação inteira. Isso marca a primeira vez que um protocolo top-100 desiste oficialmente de uma cadeia por comprometimento de chave.

Esse caso é um teste real de maturidade operacional em DeFi. Auditorias não protegem contra chaves salvas em desktops pessoais. Multisig não adianta se todos os signatários usam o mesmo sistema infectado. E bridges cross-chain viraram alvos preferenciais não por bugs, mas por centralizações humanas, 70% dos exploits em 2026 envolvem falhas de gestão de chaves, não de código. Para empresas brasileiras que usam wallets quentes para pagamentos ou custódia, isso significa: se sua política de segurança ainda permite que um gerente de TI ou compliance guarde chaves em seu notebook, você está exposto, e o ataque pode vir por e-mail com assunto 'Relatório de Compliance Q2'.