人类协议3600万代币被盗：朝鲜黑客组织疑涉其中

人类协议遭黑客攻击致超3600万美元代币失窃

人类协议（Humanity Protocol）近日披露一起价值约3600万美元的代币被盗事件，其根源被归于一个疑似与朝鲜有关联的网络攻击团体。调查揭示，攻击者借助一台受恶意软件感染的开发者终端，成功窃取了关键私钥。

安全公司Quantstamp将此次事件中暴露的攻击技术路径，与此前已知由朝鲜背景黑客组织实施的入侵模式高度匹配。该机构指出，攻击者利用恶意软件渗透并获取了目标设备的最高权限。

在未触发任何智能合约漏洞的前提下，攻击者从一台受感染的开发机中提取出七组核心私钥，并据此盗取了总计1.41亿枚H代币。

人类协议强调，本次事故并非源于系统架构缺陷或代码漏洞，而是由敏感凭证管理不当所引发，属于典型的“人为失误型”安全事件。

根据6月13日由Quantstamp发布的安全审计报告，攻击者在控制关键基础设施后，通过以太坊跨链桥批量转移了1.41亿枚H代币，并在BNB智能链上生成了额外的代币副本。

这一系列操作未依赖任何合约漏洞，而是凭借合法签名权限完成，使得相关交易在链上呈现出合规状态。最终，大部分赃款被转换为ETH，实现资产洗白。

报告明确指出，项目方的桥接合约、代币合约及Safe多签系统本身均未被攻破，整个攻击链条完全建立在凭证泄露之上。

事件披露显示，攻击起点是一台运行于开发环境中的设备，其上意外保存了多个重要私钥备份。这些密钥是在2025年6月主网上线过程中遗留下来的，未按最佳实践进行隔离处理。

具体包括：一个管理员热钱包密钥、三个以太坊Safe所有者密钥以及三个BNB Safe所有者密钥。这些权限集中存储于单一设备，使攻击者得以通过一次突破即掌控多个生产系统的控制权。

由于使用的是真实有效的数字签名，攻击者能够顺利执行转账指令、发起Safe交易审批以及推动合约升级流程。所有操作均满足多重签名阈值要求，从而在区块链上获得合法认可。

在完成合约升级后，1.41亿枚H代币被一次性从以太坊桥转移。后续在BNB链上的代币铸造行为进一步扩大了损失规模。

人类协议重申，所有核心系统组件均保持完好，此次危机纯粹由内部密钥管理失效所致，非外部技术攻陷。

随着攻击细节公布，市场迅速做出反应。据人类协议引用的数据，漏洞信息释放后，H代币价格在短时间内蒸发80%至90%。

此前有统计称，以太坊与BNB链上共计约4.47亿枚H代币受到波及。尽管部分投资者尝试抄底，但截至6月13日，该代币仍维持在0.214美元左右波动，24小时内反弹约20%，然而一周内累计跌幅仍达74%。

独立链上分析师如Lookonchain与化名研究员ZachXBT亦参与追踪，其分析确认私钥泄露是事件主因。虽然主流观点支持人类协议所述路径，但关于是否为国家支持行为者的定性，仍在研究界存在争议。

Quantstamp表示，人类协议已成为近年来被朝鲜关联黑客盯上的典型案例之一。该公司警告称，一旦敏感密钥与生产环境共存，哪怕仅有一台设备被攻陷，也可能导致整个生态面临重大资产风险。