Humanity Protocol披露,攻击者通过一名员工受感染的笔记本电脑,获取了以太坊与BNB链桥管理相关的多重签名密钥,造成逾3600万美元的H代币损失。事件中,六个Gnosis Safe所有者的三个密钥遭到泄露,攻击者借此获得桥合约控制权,并完成恶意版本升级。在以太坊网络,约1.412亿枚代币被转移;在BNB链,攻击者启用无限铸造功能,向自身钱包注入2亿枚新代币。此次攻击不仅涉及资产转移,更触及协议核心逻辑,将一次密钥管理失误转化为全面系统性风险。
该事件揭示出,当关键权限高度集中于少数密钥时,终端设备的安全状况可能成为整个协议的致命弱点。尽管项目采用四人多重签名机制,但部分密钥在配置过程中被意外备份至受控设备,导致多层防护形同虚设。创始人Terence Kwok指出,虽然运营金库使用MPC技术并由受许可托管机构管理,但部分合约的签名设置存在“集中生成、分散存储”的问题,使一台受损设备即可暴露多个审批权限。这一设计缺陷意味着,即便金库本身具备高安全性,若合约升级、铸造及紧急控制权依赖已泄露密钥,系统仍处于脆弱状态。目前,相关桥已暂停所有存提操作,团队正协同交易所评估恢复路径,并提醒用户避免与该桥或流动性池进行交互。
本次攻击远不止代币被盗,而是控制权失效的典型表现。当桥的升级权限与铸造权限可被泄露密钥直接操控时,用户面临代币稀释、流动性枯竭以及合约逻辑被篡改的多重威胁。一旦恶意合约被部署,现有资产价值可能瞬间崩塌,且难以追溯与追回。
攻击发生后,H代币价格暴跌超过85%,引发调查人员对事件性质的关注。起初有社区成员怀疑攻击是否与即将解锁前的异常交易有关。区块链分析师ZachXBT曾提出做市商和场外交易活动可能存在关联,但后续分析表明这些行为与密钥泄露无直接联系。Cyvers高级安全主管Hakan Unal指出,真实漏洞利用通常表现为快速、混乱的链上动作:资金迅速转移、低效兑换、频繁使用混币器,缺乏内部协调。而人为策划事件则常呈现特定时间窗口内的有序操作——如解锁期附近的集中供应、定向转移至关联地址或做市商账户。目前证据尚不明确,因此事件动机仍待进一步验证。
Allium Labs研究负责人Elton Shehdula分析认为,此次攻击的链上特征符合精心策划而非偶然机会主义行为。多个钱包在数周前即已注入资金,铸造权限在攻击前数日被提前激活,且两条链的抛售行为同步发生。这种节奏既可能源于内部人员,也可能是外部攻击者长期持有泄露密钥的结果。这凸显了一个核心问题:是临时利用漏洞,还是早已布局的预谋行动?对于去中心化协议而言,此事件再次印证桥仍是风险最集中的组件之一——其融合了合约升级、跨链流动性和代币发行控制等高危权限。若这些权力未实现分离、监控与严格签名流程,则单点失效足以摧毁整个生态。同时,信息披露标准也被推至新高度:用户必须清楚知晓被泄露密钥所覆盖的具体权限范围、受影响的审批层级及合约路径状态,否则无法准确评估实际损害。
当前,桥的安全已超越智能合约范畴,演变为治理结构与运营实践的综合考验。任何将核心控制权置于薄弱终端安全措施之下的协议,即便金库看似坚不可摧,仍可能在一夜之间遭遇代币体系崩溃。未来的防御策略必须从“代码安全”转向“权限隔离、行为审计与全生命周期密钥管理”。
声明:文章不代表币圈网立场和观点,不构成本站任何投资建议。内容仅供参考!
免责声明:本站所有内容仅供用户学习和研究,不构成任何投资建议.不对任何信息而导致的任何损失负责.谨慎使用相关数据和内容,并自行承担所带来的一切风险.