โปรโตคอลการระบุตัวตนแบบกระจายอำนาจ Humanity Protocol ได้ประกาศบน X เมื่อวันที่ 10 มิถุนายน โดยกำลังจัดทำแผนการกู้คืนเงินทุนสำหรับผู้ใช้งานทุกคนที่ได้รับผลกระทบจากการโจมตี พร้อมทั้งตั้งหน้าติดตามแบบเรียลไทม์สำหรับที่อยู่ของผู้โจมตีและการโอนต่อไปยังปลายทางด้วย ทางการยังตั้งรางวัลนำจับ 1 ล้าน USDT เพื่อขอเบาะแสที่สามารถนำเงินที่ถูกขโมยกลับมาได้ เมื่อวันที่ 9 มิถุนายน Humanity ได้เปิดเผยว่ามีการถูกขโมยและนำไปขายทิ้งรวมกว่า 36 ล้านดอลลาร์สหรัฐใน 2 เชน
มาตรการรับมือที่ทางการยืนยันแล้ว
การดำเนินการที่ Humanity Protocol ยืนยันบนแพลตฟอร์ม X เมื่อวันที่ 10 มิถุนายน 2026:
· กำลังจัดทำแผนการกู้คืนเงินทุนสำหรับผู้ใช้งานที่ได้รับผลกระทบทั้งหมด
· ได้ตั้งค่าหน้าติดตามแบบเรียลไทม์สำหรับที่อยู่ของผู้โจมตีและการโอนต่อจากการโจมตี โดยแบ่งปันกับศูนย์กลางและการแลกเปลี่ยนแบบกระจายอำนาจ รวมถึงแพลตฟอร์มรวบรวม (aggregator) และอัปเดตอย่างต่อเนื่อง
· ตั้งรางวัลนำจับ 1 ล้าน USDT เพื่อรับเบาะแสที่สามารถนำเงินที่ถูกขโมยกลับมาได้
· ระบุว่าการกู้คืนเงินทุนทั้งหมดจะนำไปใช้ในการซื้อคืนโทเค็น H
ฟังก์ชันเติมเงินและถอนเงินของบริดจ์ที่ได้รับผลกระทบถูกระงับไว้แล้ว การสอบสวนยังคงดำเนินอยู่ (CoinGape รายงานยืนยัน) หน้าทีมงานในเว็บไซต์ทางการของ Humanity Protocol ถูกนำออกหลังเกิดเหตุโจมตี
สาเหตุรากของการโจมตี: ช่องโหว่ด้านความปลอดภัยจากการสำรองคีย์ลับมัลติเซ็น
สิ่งที่ผู้ก่อตั้ง Humanity Protocol กัว หรงจิน (郭榮鑀) ยืนยันในคำแถลงบน Telegram:
กระเป๋าเงินแบบมัลติเซ็นมีเดิมทีตั้งค่าด้วยบุคลากร 4 คน ในกระบวนการตั้งค่า คีย์บางส่วนถูกเผลอสำรองไปยังอุปกรณ์เครื่องหนึ่งที่ถูกแฮ็กแล้ว กัว หรงจิน ระบุคำพูดในรายงานของ CoinDesk ไว้ว่า: "ในกระบวนการตั้งค่า คีย์บางส่วนเผลอไปสำรองไว้ในอุปกรณ์ที่ถูกแฮ็กแล้ว สำหรับสัญญาบางแบบ เมื่อตั้งค่าคีย์มัลติเซ็นไว้รวมที่เดียวแล้วค่อยแยกกระจายออกไป น่าเสียดายที่การสำรองคีย์กลับไปอยู่ในอุปกรณ์ที่ถูกแฮ็กแล้ว"
แม้การออกแบบแบบมัลติเซ็นจะต้องได้รับการอนุมัติจากหลายคีย์เพื่อดำเนินการ แต่เนื่องจากมีการจัดเก็บการสำรองคีย์มัลติเซ็นไว้บนอุปกรณ์เครื่องเดียวที่ถูกแฮ็ก เมื่อผู้โจมตีเจาะทะลุอุปกรณ์เครื่องเดียวได้ ก็ได้รับอนุญาตในจำนวนที่เพียงพอทันที ผู้ตรวจสอบด้านบล็อกเชน ZachXBT ยืนยันว่า เหตุคีย์รั่วครั้งนี้ไม่มีความเชื่อมโยงโดยตรงกับปัญหาการทำตลาด (market making) ของโทเค็น H
รายละเอียดเชิงเทคนิคของการโจมตี 2 เชน: ขั้นตอนการปฏิบัติที่ยืนยันแล้ว
บริดจ์บน Ethereum (ตามการเปิดเผยอย่างเป็นทางการของ Humanity Protocol ที่ยืนยัน): ผู้โจมตีได้คีย์ 3 จากทั้งหมด 6 คีย์ของบัญชีผู้ดูแลจัดการบริดจ์บน Ethereum หลังจากได้การควบคุมแล้ว จึงแทนที่โค้ดบริดจ์ด้วยโค้ดที่เป็นอันตราย โดยโทเค็น H ประมาณ 141 ล้านหน่วยถูกโอนไปในธุรกรรมเดียว
บริดจ์บน BNB Chain (ตามการเปิดเผยอย่างเป็นทางการของ Humanity Protocol ที่ยืนยัน): ผู้โจมตีได้คีย์ 3 จากทั้งหมด 5 คีย์ของการตั้งค่าบริดจ์บน BNB Chain จากนั้นฝังซอฟต์แวร์ที่เป็นอันตรายซึ่งมีฟังก์ชันการออกโทเค็นแบบไม่จำกัด ทำให้โทเค็น H เกือบ 200 ล้านหน่วยถูกสร้างขึ้นและถูกโอนไปยังวอลเล็ตของผู้โจมตีโดยตรง
ข้อมูลยืนยันราคาของโทเค็น H: ก่อนการโจมตีในช่วงสัปดาห์ก่อนหน้า ราคาขึ้นจากประมาณ 0.20 ดอลลาร์สหรัฐ ไปสู่ประมาณ 0.70 ดอลลาร์สหรัฐ; ระหว่างการโจมตีแตะระดับต่ำสุดราว 0.05 ดอลลาร์สหรัฐ; ณ เวลาที่รายงาน ราคากลับขึ้นมาอยู่แถวๆ 0.20 ดอลลาร์สหรัฐแล้ว
คำถามที่พบบ่อย
เงื่อนไขรางวัลนำจับ 1 ล้าน USDT ของ Humanity Protocol คืออะไร?
ตามคำประกาศของ Humanity Protocol บน X เงื่อนไขของรางวัลคือการให้เบาะแสที่มีประสิทธิภาพสำหรับการกู้คืนเงินที่ถูกขโมย ทางการไม่ได้ระบุขั้นตอนการส่งเบาะแสหรือเกณฑ์การตรวจสอบอย่างละเอียดไว้ในประกาศ หน้าติดตามที่เกี่ยวข้องถูกเปิดเผยแล้ว และมีการแบ่งปันกับแพลตฟอร์มแลกเปลี่ยนและแพลตฟอร์มรวบรวมรายใหญ่อย่างต่อเนื่อง
ช่องโหว่ทางเทคนิคพื้นฐานของการโจมตีครั้งนี้คืออะไร?
ตามคำแถลงบน Telegram ของผู้ก่อตั้ง กัว หรงจิน ช่องโหว่นี้เกิดจากการสำรองคีย์ลับแบบมัลติเซ็นบนอุปกรณ์ของพนักงาน โดยหลักการแล้วการออกแบบแบบมัลติเซ็นควรต้องใช้คีย์หลายชุดเพื่อดำเนินการ แต่เนื่องจากมีหลายคีย์ถูกสำรองไว้บนอุปกรณ์เครื่องเดียวที่ถูกบุกรุก เมื่อผู้โจมตีเจาะทะลุอุปกรณ์เครื่องเดียวได้ ก็จะได้รับการอนุญาตที่เพียงพอทันที
สถานะปัจจุบันของฟังก์ชันบริดจ์โทเค็น H เป็นอย่างไร?
ตามรายงานของ CoinGape ฟังก์ชันเติมเงินและถอนเงินของบริดจ์ที่ได้รับผลกระทบถูกระงับอยู่ในขณะนี้ และยังอยู่ระหว่างการสอบสวน ทางการยังไม่ได้ประกาศไทม์ไลน์ที่ชัดเจนสำหรับการกลับมาเปิดใช้งานฟังก์ชันบริดจ์
