1.41 tỷ mã H bị đánh cắp, chuỗi đôi bị tấn công, địa chỉ kiểm soát bán tháo 8 giờ—Sự kiện Humanity không chỉ là một tin hacker nữa, nó đã phơi bày những lỗ hổng chết người lâu dài trong cơ chế quản trị chuỗi chéo và phân phối token.

Chuỗi tấn công rõ ràng: email lừa đảo giả mạo cập nhật sàn giao dịch, cấy mã độc từ xa, lấy cắp khóa riêng của thiết bị giám đốc. Hợp đồng Ethereum được nâng cấp, 1.41 tỷ mã H bị chuyển đi; ProxyAdmin của BSC bị chiếm quyền, token bị phát hành thêm. Sau đó bán tháo từng phần trên Uniswap và PancakeSwap. Phía dự án đã khóa hợp đồng Ethereum, nhưng hợp đồng BSC vẫn còn kiểm soát.
Điều đáng cảnh báo hơn là các điểm nghi vấn trên chuỗi: Trước tấn công, một địa chỉ đã tích trữ hơn 2 tỷ mã token và chuẩn bị Gas, gây ra nghi vấn “đạo diễn tự ăn cắp”. Mặc dù phía dự án đổ lỗi cho hacker Triều Tiên, nhưng thiết kế tập trung quyền quản trị vốn đã là một quả bom hẹn giờ—khi ít địa chỉ nắm giữ chìa khóa nâng cấp, bất kỳ cuộc tấn công xã hội nào cũng có thể biến thành thảm họa hệ thống.
Phản ứng của thị trường cũng đáng để suy nghĩ: token H từ đáy bật tăng 466%, trong 24 giờ tăng gần 40%. Các nhà đầu tư bắt đáy đặt cược vào giải pháp khắc phục của dự án, nhưng hợp đồng BSC chưa được mở khóa có nghĩa là rủi ro phát hành thêm vẫn còn. Loại “đảo chiều hình V” này trong các vụ hacker không hiếm, nhưng sự duy trì của đợt bật tăng phụ thuộc vào độ tin cậy của giải pháp thực tế chứ không phải cảm xúc.
Đối với các dự án chuỗi chéo, sự kiện này là một tấm gương: triển khai đa chuỗi làm tăng diện tích tấn công, còn phân quyền quản trị, cơ chế nâng cấp hợp đồng đa chữ ký, và phòng thủ xã hội cho các quản lý cấp cao mới là những bài học cần bổ sung. Nếu không, lần tới email lừa đảo có thể không chỉ là cái giá của 1.41 tỷ token nữa.
$eth #uni #bsc #链上数据 #chuỗi khối