重點摘要
- Humanity Protocol 因一名員工的筆電遭入侵,導致以太坊與 BNB Smart Chain 上的多重簽章金鑰外洩,損失 3600 萬美元的 H 代幣
- 創辦人郭俊豪表示,隨著加密駭客從程式碼漏洞轉向社交工程攻擊,公司將優先強化營運安全
- 此攻擊被認為與北韓關聯的威脅行為者有關,並加速了 Humanity 從去中心化身分識別向企業 AI 產品的轉型
重點摘要

Humanity Protocol 創辦人郭俊豪(Terence Kwok)表示,在六月份因員工筆電遭入侵而導致 3600 萬美元 H 代幣被盜之後,公司將優先強化營運安全而非智慧合約防禦,因加密駭客正從程式碼漏洞轉向社交工程攻擊。
「我們學到慘痛的一課:營運安全與智慧合約安全同等關鍵,我們正據此重建。」郭俊豪在接受採訪時表示。此次入侵源自去年主網上線期間,生產環境的金鑰——包括管理員熱錢包金鑰以及以太坊和 BNB Smart Chain 上的一組多重簽章(multisig)擁有者金鑰——被意外備份到後來遭入侵的筆電上。
區塊鏈安全公司 Quantstamp 將此攻擊追溯到一封偽裝成韓國交易所 Bithumb 代幣鎖倉更新通知的釣魚郵件。該惡意附件安裝了間諜軟體,使攻擊者得以遠端存取該電腦,從 Humanity 的以太坊跨鏈橋中盜走近 1.41 億枚 H 代幣,並在 BNB Smart Chain 上增發額外供應量。Quantstamp 指出,此次攻擊具備與北韓關聯威脅行為者相關的特徵;根據業界數據,這類行為者在四月份單月就與加密相關事件中被盜的 6.34 億美元中的至少 5.78 億美元有關。
此事件凸顯了加密攻擊模式更廣泛的轉變。根據區塊鏈安全公司 CertiK 的數據,釣魚攻擊導致第一季損失 5.08 億美元,而錢包入侵在第二季成為最大攻擊向量,損失達 8.07 億美元。2026 年上半年整體加密駭客損失年減 46.8% 至 13.2 億美元,但 CertiK 表示,這一降幅具有誤導性,原因是 2025 年初發生了 14 億美元的 Bybit 黑客事件。第二季超過 70% 的損失來自 Drift Protocol 和 KelpDAO 的攻擊事件,同樣歸咎於北韓國家支持的黑客。
突破多重簽章的那台筆電
此次攻擊暴露了加密項目在金鑰安全管理上的根本缺陷。Humanity Protocol 使用 Gnosis Safe 多重簽章錢包,需要多位簽署者批准敏感操作——這種設計旨在防止單點故障。但由於足夠多的金鑰被儲存或緩存在一台遭入侵的設備上,攻擊者在兩條鏈上都突破了批准門檻,且無需利用任何一行智慧合約程式碼。
郭俊豪表示,公司目前正在重建安全架構,採用硬體安全簽署者、隔離金鑰環境,並針對釣魚威脅進行強制團隊培訓。根據 CoinMarketCap 的數據,H 代幣的市值約為 2.11 億美元,較六月初攻擊前接近 0.67 美元的高點大幅下跌。
轉向企業 AI
此次黑客攻擊加速了已討論數月的策略轉型。Humanity Protocol 最初定位為一個使用手掌生物特徵和零知識證明的去中心化身分識別平台,如今正將重心轉向企業人工智慧產品。郭俊豪表示,公司一直在測試專為需要可靠方法驗證人類身分的 AI 公司設計的產品——隨著 AI 生成內容和深偽技術的氾濫,這一應用場景變得越發迫切。
郭俊豪表示,該平台已註冊約 1000 萬用戶,其中約有數百萬人完成了身分驗證。Humanity Protocol 此前曾與 Mastercard 在資產證明應用上合作,並獲得 Animoca Brands 和 Polygon Labs 等投資者的支持。
仍在風險之中的是什麼
對於一個建立在數位信任前提下的項目而言,此次入侵造成的損害尤為嚴重。Humanity Protocol 的核心主張——利用隱私保護技術驗證真人——依賴於用戶相信基礎設施是安全的。六月的攻擊事件表明,先進的密碼學並不能取代基本的營運安全:一個協議可以使用零知識證明和去中心化身分識別技術,但如果私鑰和管理員控制措施未能妥善保護,仍然可能失敗。
郭俊豪表示,追回被盜資金的機會「相當低」,團隊的重點已轉向重建生態系統。該公司已經推出了一個公開的被盜地址追蹤器,提供 100 萬 USDT 的懸賞以獲取有助於追回資金的情報,並開始向快照前的持有者分發替代代幣。香港和美國的執法機構已接到通報,調查仍在進行中。
本文僅供參考,不構成投資建議。