Humanity Protocol跨链桥遭入侵，超3600万美元代币被非法转移

Humanity Protocol官方通报，一名员工的笔记本电脑遭遇恶意入侵，致使攻击者获取了跨链桥管理权限，进而操控以太坊与BNB Chain上的H代币合约。该事件发生于周一，周二团队发布详细说明称，六个Gnosis Safe所有者密钥中有三个被攻破，直接导致两条链的资产保护机制失效。

恶意合约替换与双链同步盗币行动

攻击者在获得控制权后，迅速将原跨链桥合约替换为具备恶意功能的版本。在以太坊链上，约1.412亿枚代币被转移至外部钱包；而在BNB Chain端，攻击者添加了无限铸造功能，并立即向自身地址生成2亿枚代币，完成大规模资金挪移。

密钥管理疏漏暴露，多重签名机制形同虚设

创始人Terence Kwok表示，项目原计划将多签权限分置于四名成员，但部分密钥可能在初始设置阶段被意外备份至受感染设备。他解释道，尽管大部分资金池由持牌托管方保管，运营资金采用MPC方案，但“关键密钥集中配置并分发”的流程存在严重缺陷，最终造成单点失守引发系统性风险。

链上行为模式揭示潜在预谋迹象

此次事件引发安全团队深度研判，调查人员关注是否存在攻击前的异常代币活动。尽管最初有质疑指向做市商及场外交易行为，但后续分析排除了其关联性。Cyvers高级安全主管Hakan Unal指出，真实入侵通常伴随快速资金转移、混币器使用及非正常兑换价格，而当前行为更显有序，提示可能存在人为策划。

链上准备充分，疑似蓄意布局已久

Allium Labs研究负责人Elton Shehdula认为，此次攻击呈现出高度协调性：相关钱包数周前即已注入资金，铸币权限在事发前数日已被激活，且两链抛售动作同步进行。这种精准部署表明，攻击者可能长期持有泄露密钥，或内部人员协同配合，无论来源如何，均反映出对协议架构的深度了解与提前布局。