6月8日,Humanity Protocol遭遇其发展历程中最严重的网络安全事故之一。在一次跨链协同攻击中,以太坊与BNB Chain上的资产合计损失超过3600万美元。攻击者利用泄露的私钥接管了项目桥接基础设施的管理权限,并发行数亿枚未经授权的代币。
消息曝光后,协议原生代币H在数小时内从约0.73美元暴跌至0.07美元以下,单日跌幅超过80%。这一剧烈波动反映出投资者对项目安全性的深度怀疑。
事件发生次日,Humanity Protocol官方在X平台发布声明,确认两条链上累计有超过3600万美元资产被盗,归因于一名员工笔记本电脑被攻破导致私钥泄露。创始人Terence Kwok也公开承认该可能性。然而,链上分析师ZachXBT随即提出质疑,认为事件背后或涉及做市商等内部角色,而非单一外部入侵。
此次攻击展现出复杂的多阶段特征,表明攻击者具备长期准备和深入技术渗透能力。在以太坊侧,攻击者成功获取了Hyperlane桥ProxyAdmin所关联的六个Gnosis Safe所有者密钥中的三个,凭借多数控制权将所有权转移至自身钱包,从而获得桥接合约的完全管理权限。
随后,攻击者部署恶意合约版本,仅用一笔交易便盗取了约1.412亿枚H代币。在BNB Chain端,类似操作同步展开——攻击者控制了五个Safe密钥中的三个,同样夺取ProxyAdmin权限,并部署了一个具备无限增发功能的恶意实现。
借助此功能,攻击者分两批向自己的地址铸造了2亿零5枚代币,随即抛售至市场,制造出巨大的供应冲击。目前,相关桥接的充值与提现功能已全面暂停,项目方正联合交易所及执法机构推进资金追回工作。
本应提供核心安全保障的Gnosis Safe多签结构,在本次事件中反而成为攻击突破口。该项目的桥接系统采用六分之六与五分之五的多签配置,理论上要求多个独立密钥共同授权才能执行变更。
但此次攻击暴露出一个致命隐患:若多个密钥集中存储于同一设备或由关联人员管理,即便仅部分密钥被泄露,仍可形成有效控制。一旦一台设备被入侵,即可同时获取多个密钥,使多签保护沦为形式化屏障。
更值得警惕的是,用于在BNB Chain上部署无限铸造功能的恶意合约,显然经过充分测试与预置。这并非临时拼凑的攻击脚本,而是需要提前部署、验证且具备完整逻辑的复杂智能合约,暗示攻击者可能拥有长期潜伏的权限基础。
此次漏洞爆发的时间点恰逢项目内部治理争议持续发酵。今年初,Humanity Protocol曾推出一项面向Kaito质押者及“Humanity Yappers”社区成员的激励活动,承诺分配价值220万美元的H代币。
尽管数千名用户依据规则参与,但最终奖励发放标准始终未明确公布。事后调查显示,项目创始人竟将原本承诺的10万美元活动奖励中的6万美元转入个人账户,引发社区强烈不满。
这种透明度缺失与利益自留行为,早已在社区中积累不信任情绪。当灾难性安全事件降临,公众不再仅仅视其为技术失误,而是将其解读为系统性治理失败的必然结果。这也解释了为何此次事件造成的影响远超资产损失本身。
当前,项目方正与执法机构及多家交易所合作,追踪被盗资金流向。所有涉案链上地址均已公开,安全研究团队正在密切监控异常动向。
然而,真正的挑战在于项目能否重建信任。Humanity Protocol的核心愿景是构建基于数字身份的信任基础设施,而如今却陷入治理失序与安全崩溃的双重困境,形成强烈讽刺。
ZachXBT提出的“做市商可能深度介入”假说,进一步加剧了公众疑虑。若攻击并非来自外部设备入侵,而是源于对金融基础设施拥有特权访问的内部实体,则现有解释难以服众。
调查仍在持续,当前H代币价格仅为事件前的极小比例,市场观望情绪浓厚。项目能否存活,取决于其应对危机的透明度与实质性行动。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.