Humanity Protocol 遭入侵損失逾3,100萬美元　H 代幣24小時急瀉逾90%

6月9日，鏈上分析師 Specter 指出，曾與數碼身份項目 Humanity 互動的錢包正被持續針對，數百個持有 H 代幣的地址疑遭入侵，累計損失超過3,100萬美元。當中約900萬美元已兌換為 ETH，另有約990萬美元仍以 H 代幣形式留存。 Humanity 創辦人 Terence Kwok 其後確認出現保安事件，起因為基金會成員私鑰外洩。項目方建議用戶暫停與 Humanity 跨鏈橋及任何流動性池互動，直至安全狀況進一步核實。團隊稱正與安全專家及交易所合作處理，並會持續向社群更新。 市場方面，H 代幣價格由約0.7 USDT 跌至0.052 USDT 低位，24小時跌幅超過90%。截稿時，H 報0.1368301 USDT，市值由20億美元大幅回落至約3,570萬美元。另據6月9日11:00的鏈上動態，攻擊者疑鑄造1億枚 Humanity Protocol 代幣（H），並逐步兌換為 BNB。 Humanity Protocol 於2024年成立，定位為去中心化數碼身份網絡，主打以掌紋生物識別及零知識證明驗證「真人」身份，聲稱在不披露個人資料下應對女巫攻擊、假帳號及 AI 生成身份。項目建基於 Polygon CDK（zkEVM）。 該敘事在2024年吸引資金追捧，項目完成兩輪融資合共5,000萬美元：種子輪以10億美元估值融資3,000萬美元，投資方包括 Kingsway Capital、Animoca Brands、Blockchain.com、Shima Capital；2025年1月由 Pantera Capital 與 Jump Crypto 領投再融資2,000萬美元，估值升至11億美元。 基金會陣容亦集結多名業內人士，由 Animoca Brands 主席 Yat Siu 領銜；聯合創辦人包括國際區塊鏈顧問公司創辦人 Mario Nawfal，以及來自 Morgan Stanley 與 Ortus Capital 的資深投資專才 Yeewai Chong。 H 代幣於2025年6月25日以 Fairdrop 機制推出，宣稱為 Web 3.0 史上首個僅向已驗證真人派發的代幣分發。惟上線僅兩日，DL News 報道一段與創辦人對話外流內容：Kwok 承認線上建立的900萬個 Human ID 之中，只有約100萬完成生物識別驗證，意味多達88%用戶可能為機械人。 同時，X 平台用戶 SCoin（@LianFang_）及 AB Kuai Dong（@_FOR AB）亦質疑 Humanity Protocol（H）可能屬「境內殼項目」，指應用程式代碼庫仍留有深圳門禁公司「Zhangteng Information」圖片素材，真實性受質疑。亦有網民聲稱項目社交媒體聲量主要由團隊自建假帳號推動，實際用戶互動不足。AB Kuai.Dong 提醒曾在 Humanity 完成驗證者需提高警覺。資料顯示，Zhongteng Information 背後為上海一家提供全流程身份核驗的外包公司。 此外，爆料者 SCoin 指項目大量收集用戶掌紋數據，引發私隱與安全疑慮。對於以「證明人類」作為核心價值主張的項目而言，信任風險顯著。H 上線後兩日內價格亦曾下挫逾61%，由約0.05美元跌至0.018美元低位。 Terence Kwok 的履歷亦被市場反覆提及。2012年，當時20歲的 Kwok 從芝加哥大學退學，因一次外遊收到900美元漫遊費帳單而創辦 Tink Labs，在酒店房間提供免費智能手機（Handy）予旅客使用以替代昂貴漫遊。該模式一度獲資本追捧，Tink Labs 先後獲 Foxconn、SoftBank、Innovation Works 及美圖創辦人等投資合共1.7億美元，估值達15億美元，成為香港首間獨角獸；高峰期 Handy 覆蓋82個國家、全球60萬間酒店客房。 其後全球漫遊費下行、酒店付費意願下降，公司自2017年起錄得虧損。據《Financial Times》報道，SoftBank 發現 Tink Labs 或將日本合資項目資金挪用至其他虧損市場後，削減對重點項目的資助。2019年7月，歐洲、中東及非洲辦事處逾100名員工未獲發薪；同年8月1日公司正式關閉，並於2020年1月進入破產清盤。FT 引述前人力資源高層稱 Kwok 只關心「賺錢」，1.7億美元投資最終化為烏有。6年後，Kwok 以 Humanity Protocol 重返市場，再度在 Pantera Capital 與 Jump Crypto 加持下取得獨角獸估值。 就本次事件而言，現有資訊顯示攻擊並非源自智能合約漏洞或協議層缺陷，而是基金會成員私鑰被盜所致，屬典型私鑰管理失誤。加密行業2026年的安全形勢本已嚴峻；CCN 指出，2026年前四個月 DeFi 黑客損失已超過10億美元，且大部分資金仍未追回。4月1日，Drift Protocol 遭2.86億美元攻擊，為年內最大單一事件。攻擊者目標亦由單純合約漏洞擴展至驗證者、RPC 節點及治理系統等。 私鑰外洩往往可繞過鏈上一切安全機制，直接奪取資產控制權，破壞性尤甚。對一個曾陷入「88%機械人用戶」爭議、代幣自高位回落逾90%的項目而言，今次逾3,100萬美元的私鑰事故或進一步侵蝕市場信任。截稿時，Kwok 表示正與安全專家及交易所夥伴處理事件，但未提及用戶補償安排，亦未交代基金會成員私鑰為何未採用多重簽名或硬件隔離等基本保護措施。