1.41 miliar token H dicuri, rantai ganda diretas, alamat pengendali menjual 8 jam—Peristiwa Humanity bukan hanya berita hacker lain, tetapi mengungkapkan beberapa celah fatal yang telah lama diabaikan dalam mekanisme distribusi token dan tata kelola lintas rantai.

Rantai serangan sangat jelas: email phishing menyamar sebagai pembaruan bursa, menyisipkan trojan jarak jauh, mencuri kunci pribadi perangkat dewan direksi. Kontrak Ethereum diperbarui, 1.41 miliar token H dipindahkan; ProxyAdmin di sisi BSC direbut, token dicetak ulang. Kemudian dijual secara bertahap di Uniswap dan PancakeSwap. Tim proyek membekukan kontrak Ethereum, tetapi kontrak BSC tetap dikendalikan.
Lebih patut diwaspadai adalah kecurigaan di atas rantai: sebelum serangan, ada alamat yang mengumpulkan lebih dari 2 miliar token dan menyiapkan Gas, memicu kecurigaan “pencurian dari dalam”. Meskipun tim proyek menunjuk hacker Korea Utara, desain konsentrasi hak pengelolaan itu sendiri adalah bom waktu—ketika sedikit alamat memegang kunci pembaruan, setiap serangan sosial engineering bisa berkembang menjadi bencana sistemik.
Respon pasar juga menarik perhatian: token H rebound 466% dari titik terendah, naik hampir 40% dalam 24 jam. Dana bottom-fishing bertaruh pada solusi perbaikan dari tim proyek, tetapi kontrak BSC yang belum dibuka kembali berarti risiko pencetakan ulang masih ada. “Pembalikan V” semacam ini tidak jarang terjadi dalam insiden hacker, tetapi keberlanjutan rebound tergantung pada kepercayaan terhadap rencana pemulihan nyata, bukan emosi.
Bagi proyek lintas rantai, peristiwa ini adalah cermin: penyebaran multi-rantai meningkatkan permukaan serangan, sementara desentralisasi hak pengelolaan, mekanisme multi-tanda untuk pembaruan kontrak, dan pertahanan sosial engineering terhadap eksekutif adalah pelajaran yang benar-benar perlu diambil. Jika tidak, email phishing berikutnya mungkin bukan hanya biaya 1.41 miliar token.