Humanity Protocol 遭定向釣魚攻擊　BSC 部署被入侵

Humanity Protocol 表示，項目一名董事成為定向釣魚攻擊目標，導致私鑰被盜，並觸發 6 月 8 日的 $H 代幣事件。公司指，事件令項目在 BNB Chain（BSC）上的部署遭到永久性入侵。 團隊於 6 月 12 日發布最新事故通報，披露由 Quantstamp 進行的獨立調查結果：攻擊者利用被盜的管理員憑證升級合約，之後在以太坊轉移代幣，並在 BNB Smart Chain 鑄造新的 $H。其後約 8 小時內，攻擊者透過 Uniswap 及 PancakeSwap 分批拋售代幣，令流動性大幅受損，$H 市價急挫。 通報指出，入侵源頭疑為冒充加密交易所 Bithumb 的釣魚電郵。受害董事據稱事前曾與 Bithumb 溝通，隨後收到看似正常的更新通知，附件實為惡意檔案。團隊稱，打開檔案後裝置被植入遠端存取惡意程式，攻擊者取得完整遠端桌面控制權，且未有觸發端點安全防護。取得權限後，攻擊者被指複製裝置內的錢包資料及私鑰，再進行鏈上攻擊。 Quantstamp 在調查中觀察到的惡意工具與證書簽署模式，形容為「具 DPRK 相關入侵的特徵」，但報告未作出明確歸因。 就鏈上操作細節，Humanity Protocol 指攻擊者使用其中一名董事被盜的密鑰，在以太坊上升級合約並轉移約 141.18 百萬枚 $H。於 BNB Chain 方面，攻擊者據報控制了 ProxyAdmin 合約，得以直接額外鑄造 $H。新鑄代幣隨後在以太坊與 BSC 的流動性池中拋售，令持有人及流動性提供者的損失進一步擴大。團隊強調，事件並非源於底層智能合約本身的漏洞，而是釣魚攻擊取得未經授權的管理員存取所致。 事件亦令 Humanity Protocol 的以太坊與 BSC 部署出現「分岔」局面。更新指出，團隊已使用一個攻擊者未曾控制、且為乾淨的多簽錢包，成功凍結以太坊代幣合約；項目亦稱官方（canonical）Humanity Mainnet 跨鏈橋未受影響。不過，BNB Chain 部署已被判定為永久性失守，原因是攻擊者仍保留管理員權限，並可持續鑄造新代幣。團隊就 BSC 部署寫道：「必須放棄。」 事件再度凸顯加密行業對管治密鑰管理、營運安全，以及社交工程攻擊風險的憂慮。 重點回顧：Humanity Protocol 表示，冒充 Bithumb 的釣魚攻擊導致董事密鑰被盜，並被用於 6 月 8 日的 $H 事件。項目已凍結以太坊部署，但由於攻擊者仍掌握鑄幣權限，BNB Chain 部署需被放棄。