Dự án «Danh tính phi tập trung» sụp đổ chỉ vì một khóa riêng: Tổng kết sự cố bảo mật 31 triệu đô la Mỹ của Humanity Protocol
Tuyển chọn TechFlowTuyển chọn TechFlow
Dự án «Danh tính phi tập trung» sụp đổ chỉ vì một khóa riêng: Tổng kết sự cố bảo mật 31 triệu đô la Mỹ của Humanity Protocol
Giá H giảm mạnh 90%: Do tin tặc quá nhanh hay thời điểm quá “đúng lúc”?
Chuyên sâu báo cáo Web3Tác giả: Claude, TechFlow
Giới thiệu của TechFlow: Dự án danh tính phi tập trung Humanity Protocol vừa trải qua một sự cố bảo mật nghiêm trọng hôm nay, khi khóa riêng của một thành viên Quỹ Humanity bị rò rỉ, dẫn đến việc 17 ví liên quan trở lên bị rút sạch, gây thiệt hại hơn 31 triệu USD.
Kẻ tấn công còn phát hành thêm 100 triệu token $H trên BNB Chain và tiếp tục bán tháo; giá token giảm mạnh từ khoảng 0,73 USD xuống mức gần 0,05 USD. Nhà điều tra chuỗi khối ZachXBT công khai đặt nghi vấn rằng sự việc “có thể là một kịch bản được dàn dựng sẵn”, trong khi cộng đồng đổ lỗi vào quá khứ đen tối của người sáng lập Terence Kwok—trước đây từng tiêu tan 170 triệu USD vốn đầu tư của các nhà đầu tư trong một dự án khởi nghiệp.
Token $H của Humanity Protocol đã trải qua một đợt sụt giảm thảm khốc trong vòng 12 giờ qua.
Theo báo cáo của The Block và nhiều phương tiện truyền thông khác, vào rạng sáng ngày 9 tháng 6 năm 2026 (giờ UTC), nhà phân tích chuỗi khối Specter là người đầu tiên phát hiện các ví liên quan đến Humanity Protocol đang bị đánh cắp một cách có hệ thống. Sau đó, người sáng lập Terence Kwok xác nhận công khai trên nền tảng X rằng khóa riêng của một thành viên Quỹ Humanity đã bị rò rỉ, cho phép kẻ tấn công kiểm soát nhiều ví liên kết với quỹ.
Tính đến thời điểm bài viết được đăng tải, dữ liệu từ CoinGecko cho thấy $H giảm khoảng 89% trong 24 giờ, từ mức khoảng 0,73 USD trước sự việc xuống còn khoảng 0,13 USD, mức thấp nhất trong phiên giao dịch chạm tới 0,05 USD. Giá trị định giá toàn bộ vốn hóa pha loãng (fully diluted valuation) của dự án giảm từ khoảng 7,3 tỷ USD xuống còn khoảng 1,2 tỷ USD.
17 ví bị rút sạch, kẻ tấn công phát hành thêm 100 triệu token trên BSC
Dữ liệu chuỗi khối cho thấy kẻ tấn công đã đánh cắp tài sản từ ít nhất 17 ví nắm giữ token H, tổng thiệt hại ban đầu 5 triệu USD nhanh chóng tăng vọt lên hơn 31 triệu USD. Theo số liệu do Specter theo dõi và được DropsTab trích dẫn, khoảng 23,7 triệu USD đã được đổi sang ETH, trong khi khoảng 7,9 triệu USD vẫn đang được nắm giữ dưới dạng token H.
Hành động phá hoại nghiêm trọng hơn nữa là những thao tác của kẻ tấn công trên BNB Chain. Cơ quan an ninh Blockaid phát hiện kẻ tấn công đã giành được quyền quản trị đại diện (proxy admin) đối với token H trên BSC, và trong khoảng thời gian từ 02:02 đến 02:09 (giờ UTC), đã đúc tổng cộng 100.000.005 token $H từ địa chỉ null (địa chỉ rỗng), tương đương giá trị ước tính khoảng 11,4 triệu USD tại thời điểm đúc. Các token mới này ngay lập tức được bán tháo trên các sàn giao dịch phi tập trung (DEX) như PancakeSwap và Kyber Network để đổi lấy BNB, làm trầm trọng thêm áp lực bán.
Theo báo cáo của Cointelegraph, Arkham Intelligence đã gắn nhãn các địa chỉ liên quan là thực thể “Kẻ khai thác Humanity Protocol”, và việc theo dõi trên chuỗi vẫn đang tiếp diễn. Humanity kêu gọi tất cả người dùng tạm ngừng mọi tương tác với các cầu nối chéo chuỗi (cross-chain bridges) và các hồ thanh khoản (liquidity pools), đồng thời khuyến nghị hủy bỏ toàn bộ quyền ủy nhiệm (approval) đã cấp cho các hợp đồng của Humanity Protocol.
ZachXBT công khai đặt nghi vấn: “Sự việc có thể là một kịch bản được dàn dựng sẵn”
Phía chính thức xác định nguyên nhân sự việc là “rò rỉ khóa riêng”, nhưng tuyên bố này đang phải đối mặt với những thách thức công khai từ các nhà điều tra chuỗi khối.
ZachXBT—nhà điều tra chuỗi khối nổi tiếng—đăng bài ngay sau khi sự việc được tiết lộ với nội dung: “Sự việc trông có vẻ như là một kịch bản được dàn dựng sẵn (possibly staged), tôi không tin vào lời giải thích của đội ngũ dự án.” Ông chỉ ra ba điểm đáng ngờ: toàn bộ token H đều được bán tháo trên DEX thay vì trên các sàn giao dịch tập trung (CEX), điều này trái với mô hình chuyển tiền điển hình trong các vụ tấn công của hacker; ngoài ra, ba thành viên cốt cán trong đội ngũ đều từng có tiền sử dính líu đến kiện tụng, gian lận tài chính hoặc quản lý yếu kém.
Nhà phân tích độc lập Elton cung cấp thêm các manh mối kỹ thuật cụ thể hơn: ví của kẻ tấn công đã được nạp vốn trước sự việc vài tuần, quyền đúc token đã được “làm nóng” sẵn từ trước, và hành vi bán tháo trên hai chuỗi thể hiện dấu hiệu phối hợp rõ ràng. Elton cho rằng những mô hình này “phù hợp với hành vi của một người trong nội bộ hoặc một kẻ tấn công bên ngoài nắm giữ khóa riêng bị rò rỉ trong thời gian dài”.
Tuy nhiên, những nghi vấn nêu trên hiện chỉ mang tính suy đoán, chưa có bằng chứng xác thực nào chứng minh đây là hành vi nội bộ. Báo cáo điều tra hậu sự việc chính thức từ đội ngũ Humanity vẫn chưa được công bố.
Câu hỏi về thời điểm: Các tổ chức vừa tích lũy token, thời điểm mở khóa sắp tới, “hacker” xuất hiện đúng lúc
Tập trung nghi vấn từ cộng đồng chủ yếu xoay quanh cửa sổ thời gian xảy ra sự việc.
Theo giám sát trước đó của nhà phân tích chuỗi khối Ai Aunt (@ai_9684xtpa), chỉ bốn ngày trước sự việc (ngày 5 tháng 6), một địa chỉ liên kết với nhà cung cấp dịch vụ lưu ký tài sản kỹ thuật số Hex Trust đã mua vào 72,23 triệu token $H trong vòng 4 giờ, trị giá khoảng 42 triệu USD, chiếm 2,55% tổng lượng cung lưu hành. Giao dịch này diễn ra sau khi Quỹ Humanity điều chỉnh kế hoạch mở khóa token vào tháng Tư: kế hoạch cho phép các nhà đầu tư sớm lựa chọn nhận toàn bộ token với chiết khấu 30%, ngày thực hiện là 26 tháng 6.
Ai Aunt bình luận sau sự việc rằng thực thể liên kết với Hex Trust vừa tiến hành tích lũy lớn, thời điểm mở khóa sắp tới, dự án thậm chí còn đang mua lại token trên thị trường OTC—thế mà ngay hôm nay đã xảy ra tấn công mạng khiến giá $H trên chuỗi gần như về zero.
Theo dữ liệu từ CryptoRank, quy mô mở khóa token H dự kiến vào tháng 6 là khoảng 72,4 triệu USD, là sự kiện mở khóa lớn thứ hai trong tháng.
Những trùng hợp này không thể trực tiếp dẫn đến bất kỳ kết luận nào, nhưng đủ để giải thích vì sao niềm tin của cộng đồng đã bị tổn thương nghiêm trọng.
Lịch sử đen tối của người sáng lập: Tink Labs từng huy động 170 triệu USD rồi phá sản
Khủng hoảng niềm tin đối với Humanity Protocol không bắt đầu từ hôm nay.
Theo báo cáo của KuCoin News trích dẫn Odaily星球日报 (Odaily Planet Daily), người sáng lập Terence Kwok thành lập công ty cho thuê điện thoại thông minh Tink Labs tại Hồng Kông khi mới 20 tuổi, từng huy động được khoảng 170–200 triệu USD từ các tổ chức như Foxconn, SoftBank và Innovation Works, đạt mức định giá cao nhất 1,5 tỷ USD, trở thành “kỳ lân” đầu tiên của Hồng Kông.
Tuy nhiên, từ năm 2017 công ty liên tục thua lỗ; đến tháng 7 năm 2019, hơn 100 nhân viên châu Âu không nhận được lương; ngày 1 tháng 8 cùng năm công ty chính thức đóng cửa; và đến tháng 1 năm 2020 thì rơi vào tình trạng phá sản. Theo Financial Times (Anh), một cựu trưởng phòng Nhân sự khẳng định Kwok chỉ quan tâm đến “việc kiếm tiền”, và toàn bộ 170 triệu USD vốn đầu tư của các nhà đầu tư “bốc hơi hoàn toàn”.
Sáu năm sau, Kwok tái xuất thị trường với Humanity Protocol, dựa trên câu chuyện kể về “danh tính phi tập trung” kết hợp nhận dạng qua vân tay và bằng chứng không tiết lộ thông tin (zero-knowledge proof), một lần nữa đạt mức định giá kỳ lân (khoảng 1,1 tỷ USD), do Pantera Capital và Jump Crypto dẫn đầu vòng gọi vốn.
Các điều tra được HTX Insights trích dẫn cũng đề cập rằng Mario Nawfal—người đứng đầu Quỹ Humanity—trước đây từng bị cáo buộc nợ lương, huy động vốn sai phạm và đe dọa người tố giác. ZachXBT chỉ ra rằng trong số bốn lãnh đạo cốt cán của dự án, ba người từng vướng phải tranh cãi trong quá khứ.
Đội ngũ đang ươm tạo dự án mới “Everything”, làm sâu sắc thêm nghi ngại của cộng đồng
Theo các báo cáo công khai, đội ngũ cốt cán của Humanity đã tham gia vào một dự án mới mang tên “Everything”.
Everything hoàn tất vòng gọi vốn hạt giống trị giá 6,9 triệu USD vào ngày 26 tháng 1, với nhà đầu tư dẫn đầu chính là Humanity Investments (bộ phận đầu tư mạo hiểm thuộc Humanity), các nhà đầu tư tham gia bao gồm Animoca Brands, Hex Trust, Jamie Rogozinski—người sáng lập WallStreetBets—và Three Point Capital.
Thông tin này bị cộng đồng đào lại sau khi giá $H lao dốc. Một số nguồn đưa tin cộng đồng suy đoán rằng “cuộc tấn công mạng” được cho là có thể là một cách để đội ngũ chủ động từ bỏ dự án cũ và chuyển toàn bộ nguồn lực sang dự án mới. Giả thuyết này hiện chưa có bằng chứng trên chuỗi hỗ trợ, nhưng việc Humanity Investments trực tiếp dẫn đầu vòng gọi vốn cho Everything khách quan mà nói làm gia tăng cảm giác xung đột lợi ích.
Việc quản lý khóa riêng thiếu cẩn trọng, hay là hành động cố ý?
Theo báo cáo của CoinDesk, sự việc lần này phù hợp với xu hướng chính trong các sự cố an ninh ngành tiền mã hóa năm 2026: phần lớn tổn thất đến từ việc khóa riêng bị đánh cắp, chứ không phải từ lỗi trong mã hợp đồng thông minh. Theo dữ liệu từ CCN, trong bốn tháng đầu năm 2026, thiệt hại do các cuộc tấn công DeFi đã vượt quá 1 tỷ USD, phần lớn số tiền bị đánh cắp vẫn chưa được thu hồi.
Một dự án lấy “xác thực danh tính phi tập trung” làm trọng tâm lại chịu tổn thất thảm khốc chỉ vì một chiếc khóa riêng bị rò rỉ—sự mỉa mai là điều hiển nhiên. Blockaid xác nhận cuộc tấn công lần này không liên quan đến lỗ hổng hợp đồng thông minh hay bất kỳ khiếm khuyết bảo mật nào ở cấp độ giao thức, mà hoàn toàn do thất bại trong quản lý khóa.
Tính đến thời điểm bài viết được đăng tải, giá hợp đồng vĩnh viễn (perpetual contract) $H/USDT trên Binance ở mức khoảng 0,068 USD (giảm khoảng 91%), giá giao ngay trên Bybit khoảng 0,15 USD, chênh lệch giá giữa các sàn giao dịch rất lớn. Khối lượng giao dịch tổng hợp trong 24 giờ đạt khoảng 599 triệu USD, tương đương 2,7 lần vốn hóa thị trường lưu hành—đây là hiện tượng định giá lại bắt buộc do sự kiện gây ra, chứ không phải giao dịch bình thường giữa các nhà đầu tư.
Sự việc vẫn đang tiếp diễn. Địa chỉ của kẻ tấn công vẫn nắm giữ một phần token H, và phương án xử lý số token $H mới được đúc trên BSC vẫn chưa rõ ràng. Trước khi những vấn đề trọng yếu này được trả lời thỏa đáng, phương án xử lý số token $H mới được đúc trên BSC vẫn chưa rõ ràng.
Tuy nhiên, dữ liệu chuỗi khối bổ sung cho thấy hành vi của địa chỉ bị rò rỉ khóa riêng khó có thể giải thích đơn thuần bằng sự bất cẩn. Nhà phân tích chuỗi khối Yu Jin chỉ ra:
Ngoài 100 triệu token H được đúc thêm bởi hacker, số lượng khoảng hơn 200 triệu token H được bán ra trong vài giờ đầu tiên thực chất được tập hợp và bán từ gần 300 ví—những ví này vừa được mở khóa cách đây hai tuần hoặc đã nhận token cách đây 11 tháng; hơn nữa, các ví này còn rút gas từ Gate và Bybit vào địa chỉ của mình cách đây ba tuần.
Báo cáo điều tra hậu sự việc chính thức từ Humanity Protocol vẫn chưa được công bố. Trước khi những câu hỏi trọng yếu này được trả lời một cách khả kiểm chứng trên chuỗi, bất kỳ kết luận nào về “cuộc tấn công mạng” đều còn quá vội vàng.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
深潮TechFlow
