Humanity协议因多签密钥集中存储致3600万美金被盗

事件概述

2026年6月7日，去中心化身份项目Humanity Protocol披露其发生安全事件，黑客通过入侵一名员工的笔记本电脑，获取了存储在该设备上的多个跨链桥管理密钥。攻击者利用三组以太坊和BNB Chain的多签密钥，分别控制了两个区块链上的跨链桥，导致约1.41亿枚H代币被转移，并在BNB Chain上生成约2亿枚新H代币。项目方已暂停相关桥接功能，正与交易所及执法机构合作处理后续事宜。

密钥管理漏洞

据项目方披露，此次事件起因于多签名钱包的密钥管理不当。原本应分散在不同人员和设备上的多签密钥，因设置过程中部分密钥被意外备份至一台受控设备，导致所有密钥集中存储于单一终端。攻击者通过该设备的漏洞，获取了三组以太坊桥管理员密钥（共六组）和三组BNB Chain桥密钥（共五组），达到操作阈值。

攻击执行过程

在以太坊链上，攻击者将跨链桥所有权转移至其控制的钱包，替换桥接合约代码为恶意版本，一次性转移约1.41亿枚H代币。在BNB Chain链上，攻击者部署具备无限铸币功能的合约，直接向其钱包铸造约2亿枚新H代币。两轮操作均未触发常规安全预警机制。

后续应对措施

项目方已从官网移除团队页面，暂停受影响跨链桥的存款与取款功能。目前正配合多家加密货币交易所进行资产追踪，并与执法部门展开协作。根据CoinGecko数据，H代币价格在事件期间一度跌至约5美分，随后回升至约20美分，仍显著低于事件前约67美分的水平。

综合海外媒体报道