Humanity Protocol 3600万代币被盗:人为失误成主因
Humanity Protocol 代币失窃案揭示运营安全致命短板
在一次因员工终端设备遭入侵引发的严重安全事故后,Humanity Protocol 正式宣布启动全面运营安全升级。公司创始人 Terence Kwok 向 Cointelegraph 透露,此次事件源于去年主网上线阶段,生产环境密钥被意外复制至一台未受保护的个人笔记本中,为后续攻击埋下隐患。
核心资产外泄源于终端防护缺失而非代码缺陷
该机构将本次高达6月的3600万美元资金损失明确归因于终端安全失控,而非智能合约逻辑漏洞。据创始人披露,包括管理员热钱包密钥及跨链多签所有者密钥在内的关键凭证,在上线期间被非授权备份至员工设备。安全研究机构 Quantstamp 进一步确认,初始入侵通过伪装成Bithumb代币锁仓更新通知的钓鱼附件实现,其植入的恶意软件赋予攻击者远程控制权限。
攻击路径演化:从协议漏洞转向人员与流程弱点
此次事件标志着加密领域安全威胁范式的转变——攻击者正从传统智能合约渗透转向直接针对运营环节的薄弱点。攻击链条始于社交工程,继而通过终端入侵获取持久访问权,最终完成资金提取。这一过程凸显了即使代码经过严格审计,若密钥管理流程存在疏漏,仍可能被绕过。
2026年安全格局:社交工程主导,地缘政治因素加剧风险
Humanity 的遭遇与 CertiK 发布的2026年上半年安全报告高度吻合。数据显示,第一季度因钓鱼攻击造成的损失达5.08亿美元,第二季度则升至8.07亿美元,主要来自钱包入侵。尽管整体损失同比下降46.8%至13.2亿美元,但此数据受2025年Bybit事件异常值影响,不具备完全代表性。尤其值得注意的是,Drift Protocol与KelpDAO的重大漏洞事件中,多数损失均指向朝鲜支持的黑客组织。
朝鲜关联威胁持续活跃,交付机制成关键突破口
Quantstamp 将 Humanity 事件中的攻击手法与朝鲜背景的威胁行为者相联系。报告指出,仅2026年4月,与加密货币相关的盗窃案中,至少5.78亿美元的资金流向此类实体。这表明,攻击者的重点已从技术攻防转向高效的信息投递与系统渗透策略。对于项目方而言,这意味着必须将威胁情报、人员培训与终端防护纳入统一防御体系。
重建信任:从密钥管理到全流程控制
面对这场重大安全危机,Humanity Protocol 正着手重构其运营架构。创始人强调,未来将强化密钥生命周期管理,实施严格的访问分离机制,并对所有备份操作进行审计。同时,公司将推动终端安全标准升级,以防止类似误操作再次发生。市场普遍认为,此类事件将促使行业重新评估安全优先级——运营控制措施应与智能合约审计并列,成为保障资产安全的核心支柱。
免责声明:本文所有内容均来源于第三方平台,所有内容不作任何类型的保证,不构成任何投资、不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。
