2026年6月8日,基于以太坊的身份与声誉协议 Humanity 卷入一场突如其来的跨链安全事故:攻击者并未正面攻破智能合约,而是先伪装成韩国交易所 Bithumb,向项目一名董事发送钓鱼邮件,在其终端植入远程控制木马,悄然夺走掌管 H 代币权限的钱包私钥。拿到私钥后,黑客在以太坊与 BNB Chain 上对 H 代币相关合约发起一系列链上操作,约 1.41 亿枚 H 被转出并迅速抛售,引爆整个生态的信任危机。Humanity 随后对外强调主网桥未受影响,将问题指向被攻陷的钱包与权限管理,而独立安全公司 Quantstamp 的调查也印证了这一点:这不是合约逻辑失误,而是一记精准命中的社会工程学攻击。更令行业不安的是,Quantstamp 指出本次攻击使用的工具与手法与疑似朝鲜相关黑客组织的既往活动高度相似,这让许多原本将防线全部押注在合约审计和跨链架构上的团队,被迫重新审视一个残酷现实——真正被攻破的往往不是链,而是人。
伪装成Bithumb的邮件如何攻破董事电脑
在这起事件中,攻击的入口并不在链上,而是在一封看似正常的商务邮件里。攻击者精心伪装成韩国交易所 Bithumb,以“业务合作”“代币支持”等常见话术向 Humanity 项目方的一名董事发送钓鱼邮件,邮件抬头、署名乃至格式都足够逼真,足以让收件人相信自己正与一家大型交易所沟通。真正的陷阱藏在附件中——一份看上去像是普通文档的文件,被标注为与业务相关的资料或表格,从而顺利绕过了人的警惕。
关键一步发生在董事双击打开附件的那一刻。表面上,终端可能只短暂闪过窗口,或看似打开了一份正常文件;背后却在静默安装远程控制木马。这个木马为攻击者打开了一扇后门,使其可以在不被察觉的情况下远程操控这台设备。行业分析指出,正是通过这一远程控制能力,攻击者进一步探查并锁定了该董事的钱包环境,最终获取到了钱包私钥。Quantstamp 的调查也强调,本次事件并不存在智能合约逻辑被绕过或跨链桥参数被攻破的证据,真正丢失的是人员安全意识与终端设备防护,而不是以太坊或 Humanity 协议本身的链上安全边界。
私钥被盗后H代币跨链被转移
当攻击者掌握这名董事的钱包私钥后,第一步不是直接大额转账,而是在以太坊上对 H 代币相关合约发起管理员级别操作。借由这些本该受严格管控的权限,攻击者推动合约实施“升级”,将核心逻辑指向自己可控的目标,使原本受规则约束的资产转移通道被悄然改写。紧接着,大量 H 代币从项目方掌控的地址被转出,流入攻击者控制的钱包,并在链上被陆续抛售。据多方来源统计,在这条路径上被转移并卖出的 H 代币总量约为 1.41 亿枚。
与此同时,攻击者在 BNB Chain 上对对应的 H 代币合约重复类似操作,利用同一把私钥签名跨链场景下的权限指令,将双链环境中的资产一并清空。Humanity 随后对外强调,其主网桥本身并未被攻破(据单一来源),受影响的是被攻陷的钱包以及围绕该钱包配置的合约权限。这意味着,表面上看是“跨链被盗”,实质上是同一套高权限密钥在多链环境中被滥用,暴露出当项目进入多链运维阶段时,一旦关键私钥失守,任一链上的合约升级、资产管理动作都可能被连锁放大成系统性风险。
Quantstamp指向非合约漏洞与疑似朝鲜黑客
在 Humanity 把问题指向被攻陷的钱包与权限配置之后,一个独立第三方的技术结论显得尤为关键。参与此次事件分析的安全审计公司 Quantstamp 随后发布调查报告,从钓鱼邮件、恶意附件到终端被植入远程控制木马的完整链路进行了复盘。报告强调,本次事故的根源在于社会工程成功诱骗核心管理者、终端设备被攻陷,从而导致高权限钱包私钥泄露,进而被用来在以太坊和 BNB Chain 上发起合约升级与资产处置操作。换言之,在 Quantstamp 的技术视角下,这不是一场源自智能合约逻辑缺陷的“链上漏洞”,而是一场典型的人与终端层面的防守失败。
更具争议的是攻击者的背景归因。Quantstamp 在报告中指出,本次攻击使用的工具与手法与近年来多次被归因于朝鲜相关黑客组织(包括 Lazarus Group 在内)的活动特征一致,例如伪装成交易所或审计机构,通过带有恶意附件的邮件入侵目标设备,并在取得远程控制权限后窃取私钥并调度链上资产。但报告同时保持了明显的谨慎,只使用“与 DPRK-linked activity 一致”“疑似相关联”等表述,并未给出司法层面的最终定性。行业舆论因此流传“疑似朝鲜黑客”之说,不过在现有公开证据下,这种说法更接近一种基于技术相似性的推断,而非可以确认的事实,关于攻击者身份的讨论在相当长时间内大概率仍将停留在“疑似关联”的层级。
从Lazarus惯用钓鱼到Web3运维短板
把Humanity事件放回过去几年的攻击版图中看,它并不是凭空出现的一次“黑天鹅”。近年来,朝鲜相关黑客组织(如 Lazarus Group)多次被指与针对加密项目的钓鱼行动有关,常见套路是伪装成交易所、审计公司或其他业务合作方,通过电邮发送带有恶意附件的“正式沟通”。受害方一旦在日常办公设备上打开附件,终端就会被植入远程控制木马,攻击者随之攫取钱包私钥,再顺势将目光延伸到项目金库或高权限合约上。本次Humanity的遭遇,在路径上几乎是这一剧本的翻版:攻击者伪装成韩国交易所Bithumb,向项目一名董事发出钓鱼邮件,在恶意附件被打开后完成木马植入,继而拿到该董事钱包的私钥,并将攻击链条延伸至以太坊与BNB Chain上的H代币相关合约,这种相似性也正是Quantstamp报告中提到“与DPRK-linked activity一致”的技术基础。
但与其把一切归结为“高阶黑客”,不如说Humanity暴露的是一整套Web3运维的共性短板。Humanity本身是基于以太坊的Web3身份与声誉协议,H代币是其生态核心资产,却在跨以太坊和BNB Chain的多链运维场景中,把足以发起合约升级等关键链上操作的私钥,落在了一名董事的个人终端上。终端管理缺乏隔离、权限分级设计不足、私钥托管与使用缺少制度化流程,再叠加人员安全意识的薄弱,使得一次看似“只是点开一个附件”的个人失误,被放大为跨链层面的系统性风险。行业随后将讨论焦点集中在这些非链上因素上,某种意义上也是在提醒所有项目方:在多链、跨链结构日益复杂的今天,人和运维流程依然是影响协议安全边界的决定性变量。
从Humanity事件看未来防御与最后一环
Humanity 这次事件,再次把一个残酷的结论摆在台面上:真正被攻破的不是以太坊或 BNB Chain 上的合约逻辑,而是那台被植入远程控制木马的终端和握着私钥的人。攻击者通过伪装成 Bithumb 的钓鱼邮件拿到董事私钥,进而在链上发起操作,转移并抛售约 1.41 亿枚 H 代币,而 Humanity 此后强调主网桥未受影响,这条路径几乎是对“人是最后一环”命题的教科书式注脚。往后看,项目方要补的课很具体:一是核心资产必须上多签,重要操作拆分为多角色、多权限确认,避免单一私钥成为系统“单点失败”;二是把权限和场景彻底隔离,把日常办公终端与高权限钱包、运维环境切割,并尽可能迁移到硬件签名设备和专用安全终端;三是把终端安全纳入制度,把邮件与下载行为纳入可审计流程,定期演练钓鱼和木马攻防;四是对全体员工进行持续的安全培训,而不是把风险教育停留在“安全手册”上。与此同时,需要承认当前公开材料中,关于损失折算金额、是否存在额外铸币以及精确价格波动等信息仍存不确定性,后续还要关注 Humanity 的恢复与赔付方案、更多第三方审计是否介入以及潜在监管视角下的定性。把这起事件仅仅看成某个项目的“倒霉事故”是不足够的,它更像是一场在以太坊等公链舞台上公开上演的安全推演,提醒整个行业把 Humanity 遭遇的这条攻击链,当作对自身终端防护、权限设计和人员体系的全面体检,而非可以被忽略的孤立案例。
加入我们的社区,一起来讨论,一起变得更强吧!
AiCoin专属Hyperliquid福利:https://app.hyperliquid.xyz/join/AICOIN88
AiCoin专属Aster福利:https://www.asterdex.com/zh-CN/referral/9C50e2
链上电报(Telegram)社群:https://t.me/AiCoinWhaleData
链上社区:https://www.aicoin.com/link/chat?cid=N6OVMor5g
AiCoin链上推特:https://x.com/aicoinwhaledata
免责声明:本文章仅代表作者个人观点,不代表本平台的立场和观点。本文章仅供信息分享,不构成对任何人的任何投资建议。用户与作者之间的任何争议,与本平台无关。如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到support@aicoin.com,本平台相关工作人员将会进行核查。
