文章总结： HumanityProtocol因员工设备被入侵导致跨链治理私钥泄露，黑客通过控制以太坊和BNBChain的多签钱包权限，恶意升级合约并无限增发代币，盗取价值超3600万美元的H代币。项目方已暂停充提功能并联合交易平台、安全机构及警方开展追损工作，事件暴露了Web3项目在终端安全和密钥管理方面的重大隐患。 综合评分： 84 文章分类： 漏洞分析,应急响应,区块链安全,数据安全,安全运营

【安全圈】员工设备遭入侵！Humanity 跨链被盗超 3600 万美元 H 代币

安全圈

2026年6月10日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

加密货币

超 3600 万美元资产被盗！Humanity 协议遭遇跨链密钥泄露重大安全攻击

近日，Web3 项目 Humanity Protocol 突发重大安全漏洞，因内部员工设备被入侵引发私钥泄露事故，导致以太坊、BNB Chain 两大主流公链生态内大量原生 H 代币被盗、抛售，截至目前，本次安全事件造成的被盗资产总价值已突破 3600 万美元，引发市场剧烈震荡，项目原生代币 H 价格大幅暴跌。

事件核心起因：员工设备遭入侵，多链治理私钥泄露

经项目方核查，本次大规模盗币事件的核心源头为项目一名员工的笔记本电脑被恶意入侵，黑客借此获取了核心治理钱包的关键私钥权限，进而掌控跨链桥核心管控权限，发起系统性恶意攻击。

本次攻击的关键突破口为项目用于管控 Hyperlane 跨链桥的 Gnosis Safe 多签钱包密钥。在以太坊生态中，Hyperlane 桥 ProxyAdmin 代理合约由 6 个 Gnosis Safe 所有者密钥共同管控，此次黑客成功窃取并掌控了其中 3 枚核心密钥，满足多签钱包权限调用门槛，彻底夺取跨链桥的最高控制权。

无独有偶，BNB Chain 生态的项目多签钱包同样出现密钥泄露问题。该链上项目治理钱包共计 5 枚所有者密钥，其中 3 枚被黑客获取，两条公链的核心治理权限同步失守，为黑客跨链盗币、恶意铸币提供了完整操作条件。

完整攻击流程：合约恶意升级 + 无限铸币，双链资产惨遭洗劫

黑客在获取双链多签钱包控制权后，实施了一套成熟且完整的恶意盗币操作，分链完成资产窃取：

1. 以太坊链：单次交易盗取海量原生代币

黑客利用泄露密钥篡改 ProxyAdmin 所有权，将跨链桥合约管理权限转移至自身控制的恶意钱包地址，随后对 Hyperlane 桥合约进行恶意升级篡改。通过一笔链上交易，直接窃取钱包内 1.412 亿枚 H 代币，完成以太坊生态的资产掠夺。

2. BNB Chain：部署恶意合约，批量无限增发盗币

相较于以太坊链的直接盗币，黑客在 BNB Chain 的攻击手段更为恶劣。攻击者部署了具备无限增发权限的恶意替代合约，替换原有正规合约权限，随后分两批次凭空铸造 2 亿枚 H 代币，并全部转入个人控制钱包，实现无成本盗币。

项目方应急处置：暂停充提，联动多方止损溯源

安全事故曝光后，Humanity 项目方迅速启动应急风控机制，第一时间对外公布事件详情并落实止损措施。目前项目已全面暂停所有受影响跨链平台的充值、提现功能，阻断剩余资产流失通道，避免风险进一步扩散。

同时，项目方已开启全方位善后工作，一方面组建内部专项调查组，彻查本次设备被入侵、私钥泄露的完整链路，排查潜在安全漏洞；另一方面主动对接各大加密交易平台、安全机构等行业相关方，协同梳理被盗资金流向，全力降低用户与社区损失。此外，项目方已正式联动警方，通过司法渠道介入事件调查，积极追踪、追回被盗非法资金。

最新链上动态：黑客持续抛售，巨额存量资产仍未转移

据最新链上数据监测，黑客的套现操作仍在持续进行。在本次攻击事发约 40 分钟前，黑客再次通过恶意合约增发 1 亿枚 H 代币，并迅速在二级市场抛售套现，持续冲击 H 代币价格，加剧市场恐慌情绪。

截至当前，黑客控制的钱包地址中仍留存大量未处置资产，风险尚未完全解除：钱包内依旧持有近 9000 万枚 H 代币，同时留存价值约 3142 万美元的以太坊资产、价值 80.4 万美元的 BNB 资产，整体剩余存量资产规模依旧庞大，后续仍存在持续抛售、引发行情剧烈波动的风险。

本次 Humanity 协议安全事件，再次暴露了 Web3 项目内部设备安全管控、多签密钥风控的薄弱短板，员工终端安全疏漏引发连锁式跨链安全灾难，也为全行业项目私钥管理、内部权限风控敲响了警钟。

END

阅读推荐

【安全圈】微软 GitHub 数十个开源项目遭黑客入侵，被植入窃取密码的恶意程序

【安全圈】Google 修复 2026 年第 5 个已遭利用的 Chrome 零日漏洞

【安全圈】Gogs 修复导致远程代码执行的严重零日漏洞

【安全圈】微软让步，撤回对白帽黑客的法律威胁

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】员工设备遭入侵！Humanity 跨链被盗超 3600 万美元 H 代币》