Vụ khai thác trị giá 36 triệu USD của nhân loại gắn liền với máy tính xách tay bị xâm nhập lưu trữ ví ‘multisig’
Máy tính xách tay bị xâm nhập có đủ khóa đa chữ ký để chiếm lấy các cầu nối của dự án trên hai chuỗi, một lỗi bảo mật cơ bản đối với một công ty khởi nghiệp được hỗ trợ bởi Pantera và Jump Crypto.
9 tháng 6 năm 2026, 12:02 chiều đọc 2 phút
Humanity Protocol đã giải thích cách những kẻ tấn công có thể đánh cắp hơn 36 triệu đô la token H của nó và nguyên nhân là do sai sót nghiêm trọng trong cách bảo mật khóa của nó.
Trong bản cập nhật sự cố được chia sẻ với CoinDesk, dự án nhận dạng phi tập trung cho biết vi phạm bắt đầu khi máy tính xách tay của nhân viên bị xâm phạm. Máy chứa một số chìa khóa điều khiển các cầu nối mã thông báo của dự án, các công cụ di chuyển H (và các mã thông báo khác) giữa các chuỗi khối.
Những cây cầu đó chạy qua ví đa chữ ký, yêu cầu một số khóa riêng biệt để phê duyệt bất kỳ thay đổi nào. Ví đa chữ ký có nhiệm vụ phân tán khóa giữa những người và thiết bị khác nhau để không một máy nào có thể chuyển tiền.
Trong trường hợp này, tất cả các khóa được lưu trữ trên một thiết bị duy nhất, có nghĩa là một sự thỏa hiệp cho phép kẻ khai thác vượt qua ngưỡng phê duyệt trên cả hai chuỗi, Humanity cho biết.
Kẻ tấn công đã lấy được ba trong số sáu khóa kiểm soát tài khoản quản trị của bridge trên Ethereum, đủ để chiếm các quyền kiểm soát liên quan đến việc triển khai dự án trên mạng.
Kẻ tấn công sau đó đã chuyển quyền sở hữu sang ví của chính họ, đổi mã của cây cầu lấy phiên bản độc hại và tiêu tốn khoảng 141 triệu H trong một giao dịch.
Trong một tin nhắn Telegram gửi tới CoinDesk, người sáng lập Humanity Terence Kwok cho biết nhóm đã thiết lập một ví multisig cho bốn cá nhân (như lẽ ra phải như vậy).
Nhân loại nghi ngờ rằng “một số khóa đã vô tình được sao lưu vào một thiết bị bị xâm nhập trong quá trình thiết lập”, Kwok nói. “Chúng tôi sử dụng người giám sát được cấp phép cho phần lớn kho lưu trữ token, mpc cho kho hoạt động và đối với một số hợp đồng nhất định, các khóa đa chữ ký được thiết lập ở một nơi và sau đó được phân tán.
Ông nói: “Thật không may trong trường hợp này, các khóa đã được sao lưu trên một thiết bị bị xâm nhập”.
Kẻ tấn công đã thực hiện các bước tương tự trên Chuỗi BNB bằng ba trong số năm khóa. Lần này, cài đặt mã với chức năng đúc tiền không giới hạn, cho phép tạo mã thông báo theo ý muốn và đúc khoảng 200 triệu H mới thẳng vào ví của họ.
Nhân loại từ đó đã có đã xóa trang nhóm từ trang web của nó. Dự án cho biết họ đã tạm dừng việc gửi và rút tiền trên những cây cầu bị ảnh hưởng và đang làm việc với các sàn giao dịch và cảnh sát để thu hồi vốn.
Nhân loại đã huy động được 20 triệu đô la từ Pantera Capital và Jump Crypto vào năm ngoái với mức định giá 1,1 tỷ đô la.
ZachXBT, một nhà điều tra onchain nổi tiếng, cho biết sự xâm phạm chính và một vòng tạo lập thị trường đáng ngờ riêng biệt trong token không có mối liên hệ với nhau.
Ông cũng đặt ra câu hỏi về cách token được giao dịch trong những tuần trước khi xảy ra vụ vi phạm, trước đợt mở khóa token lớn theo lịch trình, khi giá token H tăng vọt từ 20 cent lên 70 cent trong vòng hai tuần.
Mã thông báo đã lấy lại được một phần đất đã mất. Theo dữ liệu của CoinGecko, sau khi giảm xuống mức thấp khoảng 5 xu trong cuộc tấn công, nó đã phục hồi lên khoảng 20 xu. Nó vẫn ở dưới mức gần như trước khi vi phạm là 67 xu.
Thêm vào đó là đổ vous
Giá tiền điện tử đã tăng vào thứ Hai sau vụ sụp đổ vào tuần trước, nhưng phe gấu dường như vẫn đang kiểm soát.
