2026年6月8日, Humanity Protocol H代幣遭到攻擊,成爲當年最具破壞性的代幣泄露事件之一,損失可能超過3600萬美元。此次攻擊在協調一致的時間內同時襲擊了以太坊和幣安智能鏈,並在大多數持有者反應過來之前迅速完成資產的洗劫、增發和拋售。
根據Quantstamp 於 6 月 11 日發佈的調查報告,此次攻擊始於一封釣魚郵件,並迅速升級爲跨鏈全面接管。攻擊者以此爲入口,竊取了密鑰,轉移了數百萬枚 $H 代幣,在 BSC 上增發了新的代幣,並通過去中心化交易所將所得資金變現。
Humanity Protocol 在攻擊發生的當天就聘請了區塊鏈安全公司Quantstamp。調查顯示,當管理員密鑰與個人設備距離很近時,加密貨幣網絡釣魚攻擊的危害遠不止郵箱問題那麼簡單。
Humanity Protocol H 代幣泄露事件是如何發生的
6月8日以太坊和BSC遭受攻擊
Humanity Protocol H 代幣泄露並非隨機的智能合約漏洞。相反,這是一起有針對性的、基於憑證的盜竊事件,攻擊者藉此有效控制了以太坊和幣安智能鏈上的關鍵協議基礎設施。
此次行動持續了大約八個小時。最終,$H 代幣價格下跌了約 89%,流動性提供者遭受重創,剩餘持有者的資產也大幅貶值。與此同時,攻擊者已經進入了下一個階段:清算。
此次攻擊的目標資產是該代幣運行的核心。攻擊者入侵了 Humanity Protocol 的以太坊賬戶和一個 BSC 安全庫,這兩個賬戶和安全庫是該代幣發行和管理設置的一部分。大約 150 個正在運行的 $H 錢包以及用於支付其 gas 費用的錢包也被盜空。
釣魚郵件導致莊義偉公司鑰匙被盜
一切的源頭可以追溯到一封發送給Humanity Protocol發行機構董事Chong Yee Wai的釣魚郵件。該郵件冒充韓國加密貨幣交易所Bithumb,內容看似與流通供應鎖定計劃有關,因此看起來像是例行的行政溝通。
該郵件包含一個名爲 Bithumb_Circulating_Supply_Lockup_Schedule.zip 的惡意附件,以及一個指向攻擊者控制域名的鏈接。一旦打開該附件,惡意軟件就會在 Chong 的 Windows 電腦上安裝遠程訪問軟件,並提取他用於鏈上操作的私鑰。Chong 已向 Quantstamp 的調查人員確認了相關用戶操作。
這個細節至關重要,因爲安全漏洞並非始於協議缺陷,而是始於某人點擊某個文件。反過來,高價值密鑰的管理似乎與單個設備綁定,而非獨立的冷存儲或硬件安全模塊,這使得後續事件得以發生。
跨鏈代幣盜竊和未經授權的鑄造
攻擊者竊取密鑰後,迅速同時在兩條鏈上展開攻擊。以太坊 BSC 代幣攻擊也同步發生,這使得應對措施更加困難,並縮短了干預時間。
在以太坊上,攻擊者使用 Chong 被盜的賬戶密鑰替換了 Hyperlane warp-route 代理的實現,並將大約 1.4118 億個 $H 代幣轉移到了攻擊者控制的地址。
在 BSC 上,攻擊者採取了更進一步的行動。他利用竊取的三個 Safe 簽名密鑰,控制了一個 ProxyAdmin 合約,然後利用該控制權向一個新創建的地址鑄造了 1 億枚新的 $H 代幣。這不僅僅是盜竊,而是未經授權的代幣創建,即時增加了鏈上的代幣供應量。
由於攻擊者同時攻擊了以太坊和比特幣SCC,任何單一的防禦措施都難以在清算完成前阻止損失。暫停、凍結合約或暫停其中一條鏈的交易並不一定能阻止另一條鏈的攻擊。
Uniswap 和 PancakeSwap 上的代幣銷售引發了價格暴跌。
一旦代幣到達攻擊者控制的錢包,清算階段就開始了。攻擊者在大約八小時內,在以太坊的 Uniswap 和 BSC 的 PancakeSwap 上出售了 $H,將竊取和新鑄造的代幣兌換成了 ETH 和 BNB。
拋售壓力持續不斷。代幣價格在單日交易中暴跌 89%,這絕非小幅回調,而是對仍持有代幣的投資者而言近乎全軍覆沒。由於持續拋售導致流動性池枯竭、價差擴大,兩個去中心化交易所的流動性提供者也遭受了巨大損失。
Quantstamp表示,目前已追溯到已知攻擊者地址的收益超過2100萬美元(以以太坊計價)。BNB收益仍在評估中,最終數字尚未確定。
不同媒體報道的損失總額略有不同。The Block 估計超過 3200 萬美元,而 Decrypt 則報道約爲 3600 萬美元。這種差異可能反映了時間上的差異,以及是否包含了部分評估的 BNB 收益。目前,已確認的 ETH 損失總額僅能提供一個下限,而非上限。
爲什麼 Humanity Protocol H 代幣泄露事件如此引人注目?
這次攻擊之所以引人注目,有兩個原因。首先,它將憑證竊取與智能合約接管相結合,因此攻擊者無需尋找代碼漏洞,而是利用了合法的管理權限。其次,該操作從一開始就是跨鏈的,以太坊和 BSC 並行運行,而非先後運行。
此次安全漏洞也印證了安全研究人員多年來一直警告的一個問題:去中心化協議的安全性往往取決於持有管理密鑰的人員的安全性。任何審計都無法阻止主管在個人Windows電腦上打開惡意zip文件。
Quantstamp的調查仍在進行中,隨着更多鏈上活動的追蹤,調查結果可能會更新。BNB的全部收益數額仍在審覈中,鏈上分析中仍有可能發現其他被盜用的錢包。
常問問題
攻擊者是如何獲得 Humanity Protocol 的令牌密鑰的?
攻擊者向董事 Chong Yee Wai 發送了一封釣魚郵件,冒充韓國交易所 Bithumb。該郵件包含一個惡意附件,會在其 Windows 電腦上安裝遠程訪問惡意軟件,隨後利用該惡意軟件竊取了他控制的私鑰。
此次攻擊對 $H 代幣價格產生了什麼影響?
2026 年 6 月 8 日,攻擊者在 Uniswap 和 PancakeSwap 上出售了竊取和鑄造的代幣,導致 $H 代幣價格在大約 8 小時內暴跌了約 89%。
哪些區塊鏈受到了此次安全漏洞的影響?
2026 年 6 月 8 日,以太坊和幣安智能鏈同時成爲協同跨鏈攻擊的目標。
此次數據泄露事件造成了多大的經濟損失?
已確認的攻擊者地址中被盜取的以太坊 (ETH) 超過 2100 萬美元。幣安幣 (BNB) 的損失仍在評估中。另有媒體報道估計,總損失在 3200 萬美元至 3600 萬美元之間。
針對這起事件採取了哪些調查措施?
Humanity Protocol於2026年6月8日,即攻擊發生的當天,與Quantstamp公司接洽。作爲持續調查的一部分,Quantstamp的事件響應團隊重建了鏈上活動,並檢查了屬於Chong Yee Wai的設備。