Humanity遭黑客攻击：3600万美元报告披露——朝鲜黑客如何通过钓鱼窃走7把关键私钥

Humanity Protocol 遭北韓駭客釣鱼攻擊， 竊取开发者设備內的 7 把关鍵私鑰， 導致跨链系统內 3,600 万美元资产遭转移拋售。

北韓駭客疑透过釣鱼攻擊得手，Humanity Protocol 損失高达 3,600 万美元

去中心化身份验证項目 Humanity Protocol 近日爆发重大安全事件，约 3,600 万美元资产遭駭客竊取。根據安全公司 Quantstamp 公佈的调查报告，攻擊手法与过去多起北韓駭客組织发动的行动存在高度相似性，相关工具、操作流程与憑证使用模式都出现多項重疊特徵。

圖源：X/@Humanityprot Quantstamp 公佈的调查报告，攻擊手法与过去多起北韓駭客組织发动的行动存在高度相似性

**调查顯示，駭客並未利用智能合约漏洞入侵系统，而是透过釣鱼郵件与惡意软體感染开发人員设備，进一步取得关鍵私鑰控制權。**攻擊者最終掌握 7 把重要私鑰，包括管理員熱钱包金鑰、 Ethereum Safe 多簽金鑰以及 BNB Chain 多簽權限，成功取得多个核心系统的控制能力。

由於所有操作皆透过合法簽署權限完成，相关交易在链上看起来完全符合授權規範，也让團队难以及时察覺異常活动。

大量 $H 代币遭转移拋售，市场信心受到衝擊

取得控制權后，駭客首先升級跨链橋相关合约，接著从 Humanity Protocol 跨链系统提领大量 $H 代币，並於 BNB Chain 上執行額外鑄造与转移操作。部分代币被快速出售，最終兌換为 ETH 並流向其它地址。

事件曝光后，市场恐慌情緒迅速擴散，$H 代币价格短时间內大幅下跌，市值同步蒸发。雖然后续出现超过 200% 的技術性反彈，但市场对專案治理能力与安全机制的质疑仍未消退。

这起事件也再次凸顯跨链橋、多簽治理与權限管理架構的潛在风险。即使智能合约本身沒有漏洞，只要私鑰遭到竊取，攻擊者仍能取得与正式管理者相同的操作權限。

问題核心来自私鑰管理与營运安全

Humanity Protocol 團队表示，无論是代币合约、跨链架構或 Safe 多簽系统，都沒有遭到技術層面的破解。整起事件的根本原因来自开发人員设備遭植入惡意程式，而设備內部保存了主網上線期间的私鑰備份资料。

Quantstamp 指出，攻擊者取得设備最高權限后，便能直接存取这些敏感资訊。由於相关私鑰具備足夠的簽署能力，因此駭客得以合法完成合约升級与资产转移流程。

近年来，这類攻擊模式已逐漸成为北韓駭客組织最常採用的策略之一。相较於耗费大量时间尋找智能合约漏洞，直接锁定开发者、營运團队或系统管理員设備，往往能獲得更高的成功率。

Web3 安全戰線正从程式碼延伸到組织管理

近年多起大型加密货币攻擊事件顯示，駭客組织已將目標从單純的智能合约漏洞，逐步转向社交工程、釣鱼攻擊与終端设備入侵。交易所、跨链橋、DeFi 協议以及 Web3 基礎设施，都成为主要攻擊对象。

Humanity Protocol 事件再次提醒市场，專案安全已涵蓋程式碼審计、链上防護、私鑰管理、设備安全、權限分离以及內部營运流程等多个層面。

随著产业規模持续擴大，如何建立更完善的私鑰託管机制、降低單点失敗风险，以及提升團队成員对釣鱼攻擊的防範能力，將成为未来 Web3 專案競爭的重要基礎，也反映出加密产业的安全戰场正在从链上逐步延伸至人員与組织管理層面。