Humanity Protocol（H）遭私鑰外洩重挫，涉約3,600萬美元被盜並拋售

在加密市場接連出現 DeFi 安全事故之際，主打生物識別身份的 Humanity Protocol，其代幣 H 因私鑰相關權限被攻陷而急挫，亦再度凸顯行業老問題：關鍵權限集中在少數私鑰與營運端控制之上。 Humanity 的官方事故更新指，攻擊發生於 2026 年 6 月 8 日，影響以太坊及 BNB Smart Chain（BSC）上的 H 代幣活動。事件源於員工手提電腦遭入侵，導致與 Gnosis Safe 相關的 owner keys 外洩；攻擊者其後取得 Hyperlane 跨鏈橋 ProxyAdmin 權限，最終造成約 3,600 萬美元資產被盜並在市場拋售。更新亦披露，以太坊上約 1.412 億枚 H 被轉移，BSC 上另有 2 億枚 H 被未經授權鑄造。 鏈上早前分析已估算資金流失超過 3,000 萬美元，涉及至少 17 個與 Humanity Protocol 有關或曾互動的錢包。截稿時，市場頁面顯示 H 報約 0.17 美元，24 小時內下跌 76%，市值約 4.76 億美元，24 小時成交量約 5.33 億美元。急跌反映市場信心快速流失。 值得留意的是，現階段公開披露的資訊主要指向「錢包、跨鏈橋與管理權限」層面的失守，尚未有證據顯示 Humanity 用戶的掌紋等生物識別資料或個人可識別資訊（PII）被盜。這一點很關鍵：事件核心是管理權限與鑄幣、跨鏈控制失當，而非已證實的生物資料外洩。不過，對一個以「身份信任」作賣點的項目而言，營運端私鑰保管失手本身已足以動搖外界對其整體信任基礎。 根據 Humanity 的說法，整個鏈路與過往私鑰事故相似：單一端點（員工電腦）被攻陷，繼而暴露 Safe 的 owner keys，再被用來接管跨鏈橋 ProxyAdmin 權限；其後在以太坊與 BSC 之間出現代幣轉移、拋壓，以及 BSC 端的未授權鑄造。對市場而言，當事涉 bridge admin 角色與鑄幣路徑，價格反映的不僅是短期拋售，更是對代幣供應、流動性場景、跨鏈狀態及事後修復與追討能力的不確定性定價。 事件發生後，Humanity 曾提醒用戶暫勿與項目的跨鏈橋及流動性池互動，並表示正與保安公司及交易所合作處理。創辦人 Terence Kwok 亦將事故歸因於 Humanity Foundation 成員的私鑰遭到入侵，令外界焦點由「合約漏洞」轉向「營運安全崩潰」及其對代幣供應的後果。 隨着時間推進，市場對數據亦更清晰：初步報道指被盜金額逾 3,000 萬美元，其後官方更新將「被盜並售出」金額上修至約 3,600 萬美元，並補充 BSC 端鑄幣部分。部分鏈上帳號曾提及 BSC 鑄造 1 億枚 H，但官方後續更新列為 2 億枚。 對交易所與流動性提供者而言，關鍵在於相關權限路徑是否已徹底封堵與更換，包括：受影響權限是否已停用、私鑰是否已輪換、合約與跨鏈橋控制是否完成審計並可由第三方獨立確認。如被盜或未授權鑄造的代幣仍在流通，市場需消化潛在凍結、追討、流動性缺口及進一步披露等風險。 Humanity 的官方介紹主打掌紋生物識別、零知識證明（ZK proofs）、去中心化身份（DID）與可驗證憑證（VC），並提及掌紋註冊、掃描器靜脈映射等，意在建立「私隱保護」的身份驗證層。即使 ZK 設計可降低用戶在驗證屬性時的披露程度，也無法替代另一項基本要求：確保掌控跨鏈橋、流動性、管理角色與鑄幣權限的私鑰與營運流程足夠安全。是次事故將這種落差推到台前。 加密行業歷來不乏私鑰外洩事件，但此案的特殊性在於受影響項目屬生物識別身份網絡，其品牌承諾涉及「信任」而非單純交易或投機。即使目前未有證據顯示掌紋掃描、身份憑證或用戶 PII 被存取，私鑰失守仍足以削弱市場對其作為身份基建營運方的信任。 後續影響將取決於披露與修復的完整度。若團隊能提供具體交易哈希、受影響合約清單、私鑰輪換與權限收回細節、交易所處置與跨鏈橋修復狀態，以及獨立保安審查結果，事件或可被界定為嚴重但可理解的營運事故。反之，若未授權鑄幣與跨鏈橋控制仍有疑點、追討與回收不明朗，則可能演變為代幣供應與跨鏈信任危機。 總結而言，H 暴跌揭示的是：即使以 ZK 與生物識別包裝為「高端身份信任」敘事，系統最脆弱之處仍可能是最傳統的私鑰保管與營運權限控制。