身份认证区块链项目Humanity Protocol的原生代币$H在6月8日晚间遭遇毁灭性打击,币价在短短几小时内从0.85美元高点雪崩至0.05美元,跌幅高达80%至90%。面对社群的恐慌与愤怒,官方帐号@Humanityprot于今(9)日接连发布事后调查报告(Post-mortem)与后续更新,坦承这是一起因「私钥管理失误」引发的惨剧。
在今日深夜的最新贴文中,Humanity Protocol官方表示:「我们正在积极制定代币合约更新计划,并将在有更多细节时与大家分享。」这意味着原有的$H代币合约已无法完全保障安全,团队正寻求透过部署新合约来进行资产重建与受灾用户的补偿。
根据官方发布的Notion事后报告,这起事件并非智能合约本身的代码漏洞,而是纯粹的「金钥管理与操作安全失误」。调查发现,一名Humanity Foundation员工的日常开发用笔记本感染了恶意软件,黑客借此取得了设备的root权限。致命的是,约一年前主网启动时,有多达7把生产环境级别的私钥被不当备份在该电脑中。
黑客利用这些私钥,成功突破了以太坊(Ethereum)与币安智能链(BSC)上的Gnosis Safe多签钱包防线,并发动了三次协调攻击:
攻击一(热钱包遭窃):管理员热钱包私钥外泄,直接被盗走604万枚$H。
攻击二(以太坊跨链桥遭抽干):黑客利用盗取的3把多签金钥(3-of-6),夺取以太坊Bridge Proxy Admin控制权,将合约升级为恶意版本,单笔卷走约1.41亿枚$H。
攻击三(BSC无限铸币):黑客以同样手法夺取BSC上的Proxy Admin控制权(3-of-5),部署恶意合约并执行三次铸币(Mint),凭空印出高达3亿枚$H,导致BSC链上供应量瞬间暴增213%。
总计有高达4.47亿枚$H遭到盗取或恶意铸造,黑客随后在市场上大量抛售,造成超过3,600万美元的实际损失。
目前链上的最新状态极为严峻。官方报告坦言,由于黑客已完全掌控BSC链上的Proxy Admin,BSC上的$H代币合约「已无法恢复」,攻击者仍具备任意暂停、抽干或继续铸币的权限;而在以太坊端,官方已紧急冻结了$H的转移功能以防止灾情扩大。
官方强调,目前已聘请外部安全专家进行取证调查,并联系交易所与执法机关试图追回资金。然而,由于这起事件起因于官方团队将最高权限私钥随意存放在个人笔记本中,这种低级的安全疏失引爆了社群的强烈不满。在官方的X贴文下方,充斥着大量愤怒的回复,许多投资人质疑这根本是「内鬼作祟」与「监守自盗」,并指控官方试图配合黑客砸盘。
随着官方预告将推出「代币合约更新计划」,预计Humanity Protocol将发行新版代币以取代遭完全破坏的旧合约,但要如何挽回崩盘的币价与破裂的社群信任,将是该团队目前面临的最大考验。