Human Protocol 因严重安全漏洞而损失 3600 万美元
2026 年 6 月 – Humanity Protocol 经历了今年最严重的加密货币攻击之一,造成的损失超过 3600 万美元。这次攻击是通过一台受损的员工笔记本电脑执行的,该笔记本电脑泄露了控制该项目多重签名钱包的私钥。
攻击者获得了足够的私钥来控制以太坊和 BNB 链上的 Hyperlane Bridge ProxyAdmin 合约。这使他们能够铸造约 3 亿个未经授权的 H 代币并耗尽流动性池,在报告时将 BSC 池减少至仅 13 美元。
攻击方法
在以太坊上,攻击者获取了六个 Gnosis Safe 所有者私钥中的三个,达到了转让 ProxyAdmin 合约所有权所需的签名门槛。然后,他们将桥接合约升级为恶意实现,并将约 1.412 亿个 H 代币转移到他们的钱包中。
在BNB链上,使用相同的妥协向量,他们获得了五个安全钱包所有者密钥中的三个,接管了ProxyAdmin,并部署了具有无限铸造能力的恶意合约。这使他们能够通过两次交易铸造 2 亿个 H 代币。
市场影响和价格差异
这次攻击造成了前所未有的市场分裂。由于流动性耗尽,BSC 链上 H 代币价格暴跌 99.9% 至约 0.0009 美元。与此同时,中心化交易所的永续合约价格保持在 0.09 美元左右,是链上现货价格的 100 倍。这种分歧实际上将 H 分成了两个不相关的资产。
调查结果
链上调查员 ZachXBT 分析了该事件,并得出结论认为,Humanity 团队可能没有策划“拉扯”。私钥泄漏似乎是真实的。然而,ZachXBT 注意到可疑的预利用活动,其中 H 代币价格在预定的代币解锁之前被人为抬高,引发了与黑客攻击本身无关的市场操纵问题。
反应和行业影响
Humanity Protocol 已暂停受影响桥接服务的所有存款和取款操作,并正在与执法部门合作调查该事件并试图追回被盗资金。
此事件凸显了当端点设备受到损害时,多重签名钱包结构越来越脆弱。到 2026 年,这一令人不安的趋势仍在继续,包括 Drift Protocol、Step Finance 和 Polymarket 在内的众多协议都遭受了类似的私钥泄露。
CertiK 报告称,仅 2026 年 5 月,钱包和私钥泄露就是损失第二大的攻击媒介,当月就有 1,370 万美元被盗。