‘탈중앙화 신원(DID)’ 프로젝트, 단 하나의 개인 키로 인해 붕괴: 휴머니티 프로토콜(Humanity Protocol) 3,100만 달러 보안 사고 분석
작가: 클로드, TechFlow
TechFlow 개요: 탈중앙화 신원 프로토콜 프로젝트인 Humanity Protocol이 오늘 심각한 보안 사고를 당했다. 재단 관계자의 개인 키 유출로 인해 17개 이상의 관련 지갑이 전부 비워졌으며, 손실 규모는 3,100만 달러를 넘었다.
공격자는 BNB 체인(BSC)에서 $H 토큰 1억 개를 추가 발행한 후 이를 계속 매도하고 있다. 이에 따라 토큰 가격은 약 0.73달러에서 0.05달러 수준으로 폭락했다. 체인 분석가 ZachXBT는 이번 사고가 “의도적으로 조작된 것일 수 있다”고 공개적으로 의문을 제기했으며, 커뮤니티는 창업자 테렌스 콕(Terence Kwok)이 과거 투자자 자금 1.7억 달러를 모두 탕진한 경력에 주목하며 그를 비난하고 있다.
$H 토큰은 지난 12시간 동안 치명적인 폭락을 겪었다.
The Block 및 여러 언론 보도에 따르면, 2026년 6월 9일 오전(UTC 기준), 체인 분석가 Specter가 처음으로 Humanity Protocol과 연관된 지갑들이 체계적으로 해킹당하고 있음을 발견했다. 이후 창업자 테렌스 콕은 X 플랫폼을 통해 공식 확인했다. 한 Humanity Foundation 구성원의 개인 키가 유출되어 공격자가 여러 재단 관련 지갑을 장악하게 되었다는 것이다.
기사 작성 시점 기준, CoinGecko 데이터에 따르면 $H는 24시간 내 약 89% 하락하여 사고 이전 약 0.73달러에서 0.13달러 수준으로 급락했으며, 장중 최저가는 0.05달러까지 떨어졌다. 프로젝트의 완전 희석 시가총액(Fully Diluted Valuation)은 약 73억 달러에서 약 12억 달러로 축소됐다.
17개 지갑이 비워지고, 공격자가 BSC에서 1억 개 토큰을 추가 발행
체인 데이터에 따르면, 공격자는 적어도 17개의 $H 토큰 보유 지갑에서 자금을 탈취했으며, 초기 손실 추정치 500만 달러에서 급속히 3,100만 달러를 넘어서고 있다. DropsTab이 인용한 Specter의 추적 데이터에 따르면, 이 중 약 2,370만 달러 상당이 ETH로 교환되었고, 약 790만 달러 상당은 여전히 $H 형태로 보유 중이다.
더 큰 파괴력을 가진 행위는 공격자가 BNB 체인에서 수행한 조치였다. 보안 기관 Blockaid는 공격자가 BSC 상의 $H 토큰 프록시 관리자 권한(proxy admin)을 확보했다고 감지했다. 공격자는 UTC 시간 02:02~02:09 사이에 영주소(null address)에서 총 100,000,005개의 $H를 민팅(minting)했다. 당시 가격 기준으로 이는 약 1,140만 달러 상당이다. 새로 발행된 이 토큰들은 PancakeSwap, Kyber Network 등의 DEX를 통해 즉시 BNB로 매도되어 추가적인 매도 압력을 가했다.
Cointelegraph 보도에 따르면, Arkham Intelligence는 관련 주소를 ‘Humanity Protocol Exploiter’ 실체로 표시했으며, 체인상 추적이 계속 진행 중이다. Humanity 공식 채널은 모든 사용자에게 크로스체인 브리지 및 유동성 풀과의 상호작용을 즉시 중단할 것을 요청했으며, Humanity Protocol 계약에 대한 사용자 권한 철회도 권고했다.
ZachXBT 공개 질의: “이 사고는 의도적으로 조작된 것일 수 있다”
공식 입장은 ‘개인 키 유출’을 원인으로 규정했지만, 이 설명은 체인 분석가들로부터 공개적인 도전을 받고 있다.
유명 체인 수사관 ZachXBT는 사고 발생 직후 게시글을 통해 “이 사건은 의도적으로 조작된 것일 수 있다(possibly staged). 나는 팀의 설명을 믿지 않는다”고 밝혔다. 그는 세 가지 의심스러운 점을 지적했다. 첫째, $H는 CEX가 아닌 DEX를 통해 매도되고 있는데, 이는 일반적인 해커 공격 시 자금 이체 패턴과 부합하지 않는다. 둘째, 핵심 팀원 3명 모두 과거에 법적 소송, 재정 사기 또는 부적절한 경영 행위와 관련된 기록이 있다.
독립 분석가 엘튼(Elton)의 체인 분석은 더 구체적인 기술적 단서를 제공한다. 공격자 지갑은 사고 발생 수 주 전부터 자금 유입을 받았으며, 민팅 권한은 이미 ‘사전 준비(pre-heated)’ 상태였고, 두 체인에서의 매도 행위 간에는 명확한 조율 흔적이 남아 있다. 엘튼은 이러한 패턴이 “내부자 또는 오래전부터 유출된 개인 키를 확보한 외부 공격자”의 행동 양식과 일치한다고 판단했다.
다만 현재 제기된 이러한 의혹은 모두 추론에 불과하며, 내부자에 의한 조작임을 입증하는 확실한 증거는 아직 없다. Humanity 팀의 공식 사후 보고서는 아직 발표되지 않았다.
타이밍에 대한 의문: 기관이 막 대량 매수한 직후, 잠재적 언락 시점 바로 앞, ‘해커’가 정확히 등장
커뮤니티의 의혹은 이번 사고가 발생한 시점에 집중되고 있다.
체인 분석가 Ai 아줌마(@ai_9684xtpa)가 이전에 모니터링한 바에 따르면, 사고 발생 4일 전인 6월 5일, 디지털 자산 보관사 Hex Trust와 연관된 주소가 4시간 내에 7,223만 개의 $H를 약 4,200만 달러에 매수했다. 이는 유통 공급량의 2.55%에 해당한다. 이 매수는 Humanity Foundation이 4월에 토큰 언락 계획을 조정한 직후에 이루어졌다. 해당 계획은 초기 투자자들이 6월 26일에 70% 할인된 가격으로 토큰을 한 번에 전부 수령할 수 있도록 허용한다.
Ai 아줌마는 사고 발생 후 다음과 같이 논평했다. “Hex Trust와 연관된 실체가 막 대량 매수를 마쳤고, 곧 언락이 예정되어 있으며, 프로젝트 팀은 장외에서 토큰을 회수하고 있는 상황에서, 오늘 갑자기 해킹이 발생해 $H의 체인 가격이 사실상 제로에 가까워졌다.”
CryptoRank 데이터에 따르면, $H의 6월 예정 언락 규모는 약 7,240만 달러로, 당월 두 번째로 큰 언락 이벤트였다.
이러한 우연한 일치들만으로 결론을 내릴 수는 없지만, 커뮤니티의 신뢰가 이미 심각하게 훼손됐음을 설명하기는 충분하다.
창업자의 어두운 과거: Tink Labs는 1.7억 달러 조달 후 파산 정리
Humanity Protocol에 대한 신뢰 위기는 오늘부터 시작된 것이 아니다.
KuCoin 뉴스가 Odaily 성구일보를 인용한 보도에 따르면, 창업자 테렌스 콕은 20세 때 홍콩의 스마트폰 렌탈 기업 Tink Labs를 설립했다. 이 기업은 폭스콘, 소프트뱅크, 이노베이션 웍스 등으로부터 약 1.7억~2억 달러의 자금을 조달했고, 기업 가치는 한때 15억 달러에 달해 홍콩 최초의 유니콘 기업이 되었다.
그러나 2017년부터 꾸준한 적자를 기록했으며, 2019년 7월에는 유럽 지역 직원 100여 명이 임금을 받지 못했고, 같은 해 8월 1일 공식 폐쇄됐으며, 2020년 1월 파산 정리 절차에 들어갔다. 영국 <금융 타임스> 보도에 따르면, 한 전직 인사 담당 관리자는 콕이 오직 ‘돈 버는 것’만 관심 있었으며, 투자자 자금 1.7억 달러는 “완전히 증발했다”고 말했다.
6년 후, 콕은 손바닥 무늬 인식과 제로지식 증명(ZKP)을 기반으로 한 ‘탈중앙화 신원’이라는 서사를 앞세워 Humanity Protocol을 통해 시장에 복귀했고, 팬테라 캐피탈(Pantera Capital)과 점프 크립토(Jump Crypto)의 주도로 또 다시 유니콘 기업 평가(약 11억 달러)를 받았다.
HTX Insights가 인용한 조사에 따르면, 재단 책임자 마리오 나왈(Mario Nawfal)은 과거 임금 체불 혐의, 부적절한 자금 조달 및 고발자에 대한 협박 혐의로 지목된 바 있다. ZachXBT는 핵심 팀 리더 4명 중 3명이 과거 논란을 일으킨 바 있다고 지적했다.
팀은 이미 신규 프로젝트 ‘Everything’을 육성 중… 커뮤니티 의혹 심화
공개 보도에 따르면, Humanity의 핵심 팀은 ‘Everything’이라는 신규 프로젝트에도 참여하고 있다.
‘Everything’은 1월 26일 690만 달러 규모의 시드 펀딩을 완료했는데, 주도 투자자는 Humanity Investments(Humanity 산하 벤처 캐피탈 부서)였으며, 공동 투자자로는 애니모카 브랜즈(Animoca Brands), 헥스 트러스트(Hex Trust), 월스트리트벳츠(WallStreetBets) 창립자 제이미 로고진스키(Jamie Rogozinski), 쓰리 포인트 캐피탈(Three Point Capital)이 포함됐다.
이 정보는 $H 폭락 후 커뮤니티에 의해 재조명되었다. 일부 보도에서는 이른바 ‘해킹 공격’이 팀이 기존 프로젝트를 의도적으로 포기하고 신규 프로젝트에 자원을 집중시키려는 일종의 퇴출 전략일 가능성을 제기하고 있다. 이 추측은 현재로서는 체인상 증거가 없지만, Humanity Investments가 직접 ‘Everything’의 주도 투자자라는 사실은 객관적으로 이해 상충의 인상을 더욱 강화하고 있다.
개인 키 관리 소홀인가, 아니면 고의인가?
CoinDesk 보도에 따르면, 이번 사고는 2026년 암호화폐 업계 보안 사고의 주요 양상과 부합한다. 즉, 가장 큰 피해는 결함 있는 스마트 계약 코드가 아니라 유출된 개인 키에서 비롯된다는 것이다. CCN 데이터에 따르면, 2026년 1~4월 DeFi 해킹 피해 총액은 이미 10억 달러를 넘어섰으며, 대부분의 탈취 자금은 여전히 회수되지 못하고 있다.
‘탈중앙화 신원 검증’을 핵심 가치로 내세우는 프로젝트가 단 하나의 개인 키 유출로 인해 치명적 타격을 입었다는 사실은 아이러니 그 자체다. Blockaid는 이번 공격이 스마트 계약 취약점이나 프로토콜 차원의 보안 결함과는 무관하며, 순전히 키 관리 실패에 기인했다고 확인했다.
기사 작성 시점 기준, 바이낸스 영구 선물시장에서 $H/USDT 거래가는 약 0.068달러(약 91% 하락), 바이비트 현물시장은 약 0.15달러를 기록 중이며, 거래소 간 가격이 심각하게 이탈하고 있다. 24시간 종합 거래액은 약 5.99억 달러로, 유통 시가총액의 약 2.7배에 달해 이는 정상적인 거래가 아닌, 사고에 따른 강제 재평가 현상이다.
사건은 여전히 진행 중이다. 공격자 주소는 여전히 일부 $H를 보유하고 있으며, BSC에서 새로 민팅된 토큰의 처리 방안 역시 불투명하다. 이러한 핵심 질문들에 대한 명확한 답변이 나오기 전까지는, BSC에서 새롭게 민팅된 $H 토큰의 처리 방안도 불확실한 상태다.
다만, 체인상의 추가 데이터는 ‘개인 키 유출’이 단순한 실수로 설명되기 어렵다는 점을 시사한다. 체인 분석가 위진(여진)은 다음과 같이 지적했다.
해커가 추가로 민팅한 1억 개의 $H를 제외하더라도, 그 이전 몇 시간 동안 매도된 2억 개 이상의 $H는 대부분 최근 2주 전 언락된 토큰과 11개월 전 수령된 토큰을 보유한 약 300개 지갑에서 집중적으로 판매된 것이다. 게다가 이 지갑들은 모두 3주 전 게이트(Gate)와 바이비트(Bybit)에서 가스비를 해당 주소로 인출했다.
Humanity Protocol의 공식 사후 보고서는 아직 발표되지 않았다. 체인상에서 검증 가능한 답변이 제시되기 전까지는, ‘해킹 공격’이라는 진단을 내리는 것은 시기상조이다.
TechFlow 공식 커뮤니티에 오신 것을 환영합니다
Telegram 구독 그룹:https://t.me/TechFlowDaily
트위터 공식 계정:https://x.com/TechFlowPost
트위터 영어 계정:https://x.com/BlockFlow_News
深潮TechFlow
