2026年6月8日, Humanity Protocol H代币遭到攻击,成为当年最具破坏性的代币泄露事件之一,损失可能超过3600万美元。此次攻击在协调一致的时间内同时袭击了以太坊和币安智能链,并在大多数持有者反应过来之前迅速完成资产的洗劫、增发和抛售。
根据Quantstamp 于 6 月 11 日发布的调查报告,此次攻击始于一封钓鱼邮件,并迅速升级为跨链全面接管。攻击者以此为入口,窃取了密钥,转移了数百万枚 $H 代币,在 BSC 上增发了新的代币,并通过去中心化交易所将所得资金变现。
Humanity Protocol 在攻击发生的当天就聘请了区块链安全公司Quantstamp。调查显示,当管理员密钥与个人设备距离很近时,加密货币网络钓鱼攻击的危害远不止邮箱问题那么简单。
Humanity Protocol H 代币泄露事件是如何发生的
6月8日以太坊和BSC遭受攻击
Humanity Protocol H 代币泄露并非随机的智能合约漏洞。相反,这是一起有针对性的、基于凭证的盗窃事件,攻击者借此有效控制了以太坊和币安智能链上的关键协议基础设施。
此次行动持续了大约八个小时。最终,$H 代币价格下跌了约 89%,流动性提供者遭受重创,剩余持有者的资产也大幅贬值。与此同时,攻击者已经进入了下一个阶段:清算。
此次攻击的目标资产是该代币运行的核心。攻击者入侵了 Humanity Protocol 的以太坊账户和一个 BSC 安全库,这两个账户和安全库是该代币发行和管理设置的一部分。大约 150 个正在运行的 $H 钱包以及用于支付其 gas 费用的钱包也被盗空。
钓鱼邮件导致庄义伟公司钥匙被盗
一切的源头可以追溯到一封发送给Humanity Protocol发行机构董事Chong Yee Wai的钓鱼邮件。该邮件冒充韩国加密货币交易所Bithumb,内容看似与流通供应锁定计划有关,因此看起来像是例行的行政沟通。
该邮件包含一个名为 Bithumb_Circulating_Supply_Lockup_Schedule.zip 的恶意附件,以及一个指向攻击者控制域名的链接。一旦打开该附件,恶意软件就会在 Chong 的 Windows 电脑上安装远程访问软件,并提取他用于链上操作的私钥。Chong 已向 Quantstamp 的调查人员确认了相关用户操作。
这个细节至关重要,因为安全漏洞并非始于协议缺陷,而是始于某人点击某个文件。反过来,高价值密钥的管理似乎与单个设备绑定,而非独立的冷存储或硬件安全模块,这使得后续事件得以发生。
跨链代币盗窃和未经授权的铸造
攻击者窃取密钥后,迅速同时在两条链上展开攻击。以太坊 BSC 代币攻击也同步发生,这使得应对措施更加困难,并缩短了干预时间。
在以太坊上,攻击者使用 Chong 被盗的账户密钥替换了 Hyperlane warp-route 代理的实现,并将大约 1.4118 亿个 $H 代币转移到了攻击者控制的地址。
在 BSC 上,攻击者采取了更进一步的行动。他利用窃取的三个 Safe 签名密钥,控制了一个 ProxyAdmin 合约,然后利用该控制权向一个新创建的地址铸造了 1 亿枚新的 $H 代币。这不仅仅是盗窃,而是未经授权的代币创建,实时增加了链上的代币供应量。
由于攻击者同时攻击了以太坊和比特币SCC,任何单一的防御措施都难以在清算完成前阻止损失。暂停、冻结合约或暂停其中一条链的交易并不一定能阻止另一条链的攻击。
Uniswap 和 PancakeSwap 上的代币销售引发了价格暴跌。
一旦代币到达攻击者控制的钱包,清算阶段就开始了。攻击者在大约八小时内,在以太坊的 Uniswap 和 BSC 的 PancakeSwap 上出售了 $H,将窃取和新铸造的代币兑换成了 ETH 和 BNB。
抛售压力持续不断。代币价格在单日交易中暴跌 89%,这绝非小幅回调,而是对仍持有代币的投资者而言近乎全军覆没。由于持续抛售导致流动性池枯竭、价差扩大,两个去中心化交易所的流动性提供者也遭受了巨大损失。
Quantstamp表示,目前已追溯到已知攻击者地址的收益超过2100万美元(以以太坊计价)。BNB收益仍在评估中,最终数字尚未确定。
不同媒体报道的损失总额略有不同。The Block 估计超过 3200 万美元,而 Decrypt 则报道约为 3600 万美元。这种差异可能反映了时间上的差异,以及是否包含了部分评估的 BNB 收益。目前,已确认的 ETH 损失总额仅能提供一个下限,而非上限。
为什么 Humanity Protocol H 代币泄露事件如此引人注目?
这次攻击之所以引人注目,有两个原因。首先,它将凭证窃取与智能合约接管相结合,因此攻击者无需寻找代码漏洞,而是利用了合法的管理权限。其次,该操作从一开始就是跨链的,以太坊和 BSC 并行运行,而非先后运行。
此次安全漏洞也印证了安全研究人员多年来一直警告的一个问题:去中心化协议的安全性往往取决于持有管理密钥的人员的安全性。任何审计都无法阻止主管在个人Windows电脑上打开恶意zip文件。
Quantstamp的调查仍在进行中,随着更多链上活动的追踪,调查结果可能会更新。BNB的全部收益数额仍在审核中,链上分析中仍有可能发现其他被盗用的钱包。
常问问题
攻击者是如何获得 Humanity Protocol 的令牌密钥的?
攻击者向董事 Chong Yee Wai 发送了一封钓鱼邮件,冒充韩国交易所 Bithumb。该邮件包含一个恶意附件,会在其 Windows 电脑上安装远程访问恶意软件,随后利用该恶意软件窃取了他控制的私钥。
此次攻击对 $H 代币价格产生了什么影响?
2026 年 6 月 8 日,攻击者在 Uniswap 和 PancakeSwap 上出售了窃取和铸造的代币,导致 $H 代币价格在大约 8 小时内暴跌了约 89%。
哪些区块链受到了此次安全漏洞的影响?
2026 年 6 月 8 日,以太坊和币安智能链同时成为协同跨链攻击的目标。
此次数据泄露事件造成了多大的经济损失?
已确认的攻击者地址中被盗取的以太坊 (ETH) 超过 2100 万美元。币安币 (BNB) 的损失仍在评估中。另有媒体报道估计,总损失在 3200 万美元至 3600 万美元之间。
针对这起事件采取了哪些调查措施?
Humanity Protocol于2026年6月8日,即攻击发生的当天,与Quantstamp公司接洽。作为持续调查的一部分,Quantstamp的事件响应团队重建了链上活动,并检查了属于Chong Yee Wai的设备。