Humanity遭駭3600萬鎂報告公開：北韓駭客如何釣魚竊走7把關鍵私鑰

Humanity Protocol 遭北韓駭客釣魚攻擊， 竊取開發者設備內的 7 把關鍵私鑰， 導致跨鏈系統內 3,600 萬美元資產遭轉移拋售。

北韓駭客疑透過釣魚攻擊得手，Humanity Protocol 損失高達 3,600 萬美元

去中心化身份驗證項目 Humanity Protocol 近日爆發重大安全事件，約 3,600 萬美元資產遭駭客竊取。根據安全公司 Quantstamp 公佈的調查報告，攻擊手法與過去多起北韓駭客組織發動的行動存在高度相似性，相關工具、操作流程與憑證使用模式都出現多項重疊特徵。

圖源：X/@Humanityprot Quantstamp 公佈的調查報告，攻擊手法與過去多起北韓駭客組織發動的行動存在高度相似性

**調查顯示，駭客並未利用智能合約漏洞入侵系統，而是透過釣魚郵件與惡意軟體感染開發人員設備，進一步取得關鍵私鑰控制權。**攻擊者最終掌握 7 把重要私鑰，包括管理員熱錢包金鑰、 Ethereum Safe 多簽金鑰以及 BNB Chain 多簽權限，成功取得多個核心系統的控制能力。

由於所有操作皆透過合法簽署權限完成，相關交易在鏈上看起來完全符合授權規範，也讓團隊難以及時察覺異常活動。

大量 $H 代幣遭轉移拋售，市場信心受到衝擊

取得控制權後，駭客首先升級跨鏈橋相關合約，接著從 Humanity Protocol 跨鏈系統提領大量 $H 代幣，並於 BNB Chain 上執行額外鑄造與轉移操作。部分代幣被快速出售，最終兌換為 ETH 並流向其它地址。

事件曝光後，市場恐慌情緒迅速擴散，$H 代幣價格短時間內大幅下跌，市值同步蒸發。雖然後續出現超過 200% 的技術性反彈，但市場對專案治理能力與安全機制的質疑仍未消退。

這起事件也再次凸顯跨鏈橋、多簽治理與權限管理架構的潛在風險。即使智能合約本身沒有漏洞，只要私鑰遭到竊取，攻擊者仍能取得與正式管理者相同的操作權限。

問題核心來自私鑰管理與營運安全

Humanity Protocol 團隊表示，無論是代幣合約、跨鏈架構或 Safe 多簽系統，都沒有遭到技術層面的破解。整起事件的根本原因來自開發人員設備遭植入惡意程式，而設備內部保存了主網上線期間的私鑰備份資料。

Quantstamp 指出，攻擊者取得設備最高權限後，便能直接存取這些敏感資訊。由於相關私鑰具備足夠的簽署能力，因此駭客得以合法完成合約升級與資產轉移流程。

近年來，這類攻擊模式已逐漸成為北韓駭客組織最常採用的策略之一。相較於耗費大量時間尋找智能合約漏洞，直接鎖定開發者、營運團隊或系統管理員設備，往往能獲得更高的成功率。

Web3 安全戰線正從程式碼延伸到組織管理

近年多起大型加密貨幣攻擊事件顯示，駭客組織已將目標從單純的智能合約漏洞，逐步轉向社交工程、釣魚攻擊與終端設備入侵。交易所、跨鏈橋、DeFi 協議以及 Web3 基礎設施，都成為主要攻擊對象。

Humanity Protocol 事件再次提醒市場，專案安全已涵蓋程式碼審計、鏈上防護、私鑰管理、設備安全、權限分離以及內部營運流程等多個層面。

隨著產業規模持續擴大，如何建立更完善的私鑰託管機制、降低單點失敗風險，以及提升團隊成員對釣魚攻擊的防範能力，將成為未來 Web3 專案競爭的重要基礎，也反映出加密產業的安全戰場正在從鏈上逐步延伸至人員與組織管理層面。