超 3600 万美元资产被盗！Humanity 协议遭遇跨链密钥泄露重大安全攻击

近日，Web3 项目 Humanity Protocol 突发重大安全漏洞，因内部员工设备被入侵引发私钥泄露事故，导致以太坊、BNB Chain 两大主流公链生态内大量原生 H 代币被盗、抛售，截至目前，本次安全事件造成的被盗资产总价值已突破 3600 万美元，引发市场剧烈震荡，项目原生代币 H 价格大幅暴跌。

事件核心起因：员工设备遭入侵，多链治理私钥泄露

经项目方核查，本次大规模盗币事件的核心源头为项目一名员工的笔记本电脑被恶意入侵，黑客借此获取了核心治理钱包的关键私钥权限，进而掌控跨链桥核心管控权限，发起系统性恶意攻击。

本次攻击的关键突破口为项目用于管控 Hyperlane 跨链桥的 Gnosis Safe 多签钱包密钥。在以太坊生态中，Hyperlane 桥 ProxyAdmin 代理合约由 6 个 Gnosis Safe 所有者密钥共同管控，此次黑客成功窃取并掌控了其中 3 枚核心密钥，满足多签钱包权限调用门槛，彻底夺取跨链桥的最高控制权。

无独有偶，BNB Chain 生态的项目多签钱包同样出现密钥泄露问题。该链上项目治理钱包共计 5 枚所有者密钥，其中 3 枚被黑客获取，两条公链的核心治理权限同步失守，为黑客跨链盗币、恶意铸币提供了完整操作条件。

完整攻击流程：合约恶意升级 + 无限铸币，双链资产惨遭洗劫

黑客在获取双链多签钱包控制权后，实施了一套成熟且完整的恶意盗币操作，分链完成资产窃取：

1. 以太坊链：单次交易盗取海量原生代币

黑客利用泄露密钥篡改 ProxyAdmin 所有权，将跨链桥合约管理权限转移至自身控制的恶意钱包地址，随后对 Hyperlane 桥合约进行恶意升级篡改。通过一笔链上交易，直接窃取钱包内 1.412 亿枚 H 代币，完成以太坊生态的资产掠夺。

2. BNB Chain：部署恶意合约，批量无限增发盗币

相较于以太坊链的直接盗币，黑客在 BNB Chain 的攻击手段更为恶劣。攻击者部署了具备无限增发权限的恶意替代合约，替换原有正规合约权限，随后分两批次凭空铸造 2 亿枚 H 代币，并全部转入个人控制钱包，实现无成本盗币。

项目方应急处置：暂停充提，联动多方止损溯源

安全事故曝光后，Humanity 项目方迅速启动应急风控机制，第一时间对外公布事件详情并落实止损措施。目前项目已全面暂停所有受影响跨链平台的充值、提现功能，阻断剩余资产流失通道，避免风险进一步扩散。

同时，项目方已开启全方位善后工作，一方面组建内部专项调查组，彻查本次设备被入侵、私钥泄露的完整链路，排查潜在安全漏洞；另一方面主动对接各大加密交易平台、安全机构等行业相关方，协同梳理被盗资金流向，全力降低用户与社区损失。此外，项目方已正式联动警方，通过司法渠道介入事件调查，积极追踪、追回被盗非法资金。

最新链上动态：黑客持续抛售，巨额存量资产仍未转移

据最新链上数据监测，黑客的套现操作仍在持续进行。在本次攻击事发约 40 分钟前，黑客再次通过恶意合约增发 1 亿枚 H 代币，并迅速在二级市场抛售套现，持续冲击 H 代币价格，加剧市场恐慌情绪。

截至当前，黑客控制的钱包地址中仍留存大量未处置资产，风险尚未完全解除：钱包内依旧持有近 9000 万枚 H 代币，同时留存价值约 3142 万美元的以太坊资产、价值 80.4 万美元的 BNB 资产，整体剩余存量资产规模依旧庞大，后续仍存在持续抛售、引发行情剧烈波动的风险。

本次 Humanity 协议安全事件，再次暴露了 Web3 项目内部设备安全管控、多签密钥风控的薄弱短板，员工终端安全疏漏引发连锁式跨链安全灾难，也为全行业项目私钥管理、内部权限风控敲响了警钟。

注：文中素材来源于网络公开资料，如有侵权请联系删除，以上内容仅代表作者个人观点。

来源于网络

编 | Black   审 | 林蛋壳

声明：投资有风险，入市须谨慎。本资讯不作为投资理财建议。