Humanity Protocol 漏洞事件曝光：私钥泄露致4.47亿枚代币被盗

核心提要：Humanity Protocol确认其开发者设备遭恶意软件入侵，导致七把私钥外泄，引发以太坊与BNB链上约4.47亿枚H代币被非法提取与铸造。项目方强调攻击源于人为失误而非协议缺陷，并已启动追回机制。

开发者设备感染病毒引连锁安全危机，关键密钥遭窃

Humanity Protocol披露，一起严重安全事件的根源是一台被恶意软件感染的开发者终端，该设备意外暴露了七个核心私钥，成为攻击者突破防线的关键入口。此次漏洞直接导致以太坊与BNB智能链上的约4.47亿枚H代币被非法提取和增发。

私钥泄露非合约缺陷，攻击者借权控桥实现资金转移

项目方指出，本次事件并非由其智能合约或跨链桥架构本身存在漏洞所致，而是由于一名开发人员的设备遭到入侵，致使包括热钱包密钥、三组以太坊Safe所有者密钥及三组BNB Safe所有者密钥在内的七把敏感凭证外泄。攻击者利用这些有效权限，在6月期间对协议基础设施实施精准操控。

三阶段攻击流程揭示控制权夺取路径

调查显示，攻击行为分三次展开，集中于6月8日至9日。首波行动中，因热钱包私钥失守，604万枚H代币被从以太坊热钱包中转出。随后，攻击者通过获取六人以太坊Safe中的三把密钥，成功将桥合约的ProxyAdmin所有权转移至自身控制地址，进而升级为恶意版本并执行单笔大额提款，金额达1.4118亿枚。

在BNB链端，另外三把被窃取的Safe密钥使攻击者获得代币合约的管理权限。通过部署恶意逻辑，执行三笔各1亿枚的铸造交易，将总供应量从约1.411亿增至4.411亿枚，造成代币通胀失控。

单一入侵点锁定，但攻击溯源仍存盲区

尽管以太坊桥资产可追溯，但因攻击者仍掌握BNB链上合约的管理员权限，相关代币无法回收。报告明确指出，所有七把私钥均源自同一台受感染设备，且项目方尚未查明攻击者何时首次取得访问权限、具体入侵方式以及凭证被盗时长等关键信息。

为应对危机，Humanity Protocol已暂停受影响桥的存款与提现功能，上线公开资产追踪器，并设立100万USDT悬赏，鼓励提供有助于追回资金的线索。所有追回资金将用于回购代币，以稳定生态信心。