Humanity Protocol：開發者電腦遭入侵致H代幣被盜

Humanity Protocol 表示，周一深夜爆發的 H 代幣事件，起因是有開發人員的電腦遭惡意程式入侵，多組與項目代幣及跨鏈橋基建相關的私鑰外洩。團隊在事後報告中指出，受感染裝置被攻擊者取得 root 權限。於 2025 年 6 月左右主網上線期間，多把生產環境金鑰曾不慎備份在該機器上，包括一把管理員熱錢包私鑰、三把 Ethereum Safe 擁有人私鑰，以及三把 BSC Safe 擁有人私鑰。 團隊稱，事件影響 H 代幣在 Ethereum 及 BSC 兩條鏈，時間介乎 6 月 8 日至 6 月 9 日。攻擊者先在 Ethereum 從管理員熱錢包盜走約 600 萬枚 H，其後接管跨鏈橋 ProxyAdmin，從 Ethereum 端跨鏈橋抽走約 1.41 億枚 H。BSC 方面，攻擊者在取得與 BSC 代幣 ProxyAdmin 綁定的三把 Safe 擁有人私鑰後，鑄造 3 億枚 H。 整體影響合計約 4.47 億枚 H，涵蓋 Ethereum 端直接盜取、跨鏈橋被抽走的數量，以及 BSC 新鑄造的代幣。Humanity Protocol 補充，最初轉入 Ethereum 跨鏈橋的 1,500 萬枚 H 已計入 1.41 億枚跨鏈橋抽走量，毋須重複計算。 團隊指出，BSC 端為事件最嚴重部分。攻擊者仍控制 BSC 代幣的 ProxyAdmin，意味可繼續鑄造、暫停或抽走代幣。團隊形容 BSC 上的 H 代幣「無法挽回」，應視為永久受損。 Ethereum 方面，事件後由乾淨的 4/7 Safe 凍結了 Ethereum 的 H 代幣。團隊稱，Ethereum 代幣 ProxyAdmin 仍由乾淨 Safe 掌控；官方 Arbitrum 跨鏈橋未受影響，現仍持有約 8,700 萬枚 H。 更新同時強調，事故並非源於 Humanity 智能合約、跨鏈橋程式碼或 Safe 配置漏洞。攻擊者利用外洩的合法私鑰，授權轉帳、發起 Safe 交易、進行代理升級、抽走跨鏈橋資金及鑄幣。團隊仍在調查攻擊者何時首次取得存取權、惡意程式如何入侵裝置，以及攻擊者在行動前持有金鑰的時間長短，並已聘請外部安全專家進行取證調查，同時籌備受影響用戶的補救計劃。 市場方面，H 代幣於周一深夜至周二凌晨一度急挫逾 90%，周二早上反彈逾 100%。代幣最新報約 0.21 美元，較事件前約 0.68 美元仍累跌接近 70%。