人类协议解释了攻击者如何窃取超过3600万美元的H代币，原因在于其密钥安全措施存在严重漏洞。

在与CoinDesk分享的事件更新中，该去中心化身份项目表示，泄露从一名员工的笔记本电脑被入侵开始。该设备存储了多个控制项目代币桥的密钥，这些工具能够在区块链之间移动H（和其他代币）。

这些桥通过多签名钱包运行，这需要多个独立的密钥来批准任何更改。多签名钱包本应将密钥分散到不同的人和设备上，以便没有单一设备可以移动资金。

在这种情况下，所有密钥都存储在单一设备上，这意味着一旦被入侵，攻击者就能跨越两个链的批准阈值，人类协议表示。

攻击者获得了控制以太坊上桥接管理账户的六个密钥中的三个，足以掌控与该项目在网络上部署相关的控制权。

然后，攻击者将所有权转移到自己的钱包，替换桥的代码为恶意版本，并在一笔交易中抽取了约1.41亿H。

在人类协议的创始人特伦斯·郭（Terence Kwok）发给CoinDesk的Telegram消息中，他表示团队已在四个个人之间设置了一个多签名钱包（这本应如此）。

郭说，人类协议怀疑“在设置过程中，某些密钥意外地备份到一个被入侵的设备上”。“我们对大部分代币金库使用授权保管人，对运营金库使用多方计算，对于某些合约，多签名密钥在一个地方设置后又被分散。”

“不幸的是，在这种情况下，密钥被备份在一台被入侵的设备上，”他说。

攻击者在BNB链上执行了类似的步骤，使用了五个密钥中的三个。这次，安装了一个具有无限铸造功能的代码，允许随意创建代币，并向他们的钱包直接铸造了约2亿新的H。

自此之后，人类协议已从其网站上删除了团队页面。该项目表示已暂停受影响桥上的存款和取款，并正在与交易所和警方合作以追回资金。

人类协议去年从潘特拉资本（Pantera Capital）和Jump Crypto筹集了2000万美元，估值达11亿美元。

著名的链上调查员ZachXBT表示，密钥泄露和代币的另一个可疑市场制造行为并无关联。

他还对在泄露前几周该代币的交易情况提出了质疑，尤其是在大规模计划的代币解锁之前，因为H代币的价格在两周内从20美分飙升至70美分。

该代币已逐步收复部分失地。根据CoinGecko的数据，在攻击期间最低跌至约5美分后，它恢复到了约20美分。不过，它仍远在攻击前约67美分的水平之下。