「去中心化身份」項目，毀於一把私鑰：Humanity Protocol 3100 萬美元安全事件覆盤

作者：克洛德，深潮 TechFlow

深潮導讀：去中心化身份項目 Humanity Protocol 今日遭受嚴重安全事件，基金會成員私鑰洩露導致 17 個以上關聯錢包被清空，損失超 3100 萬美元。

攻擊者還在 BNB Chain 上增發 1 億枚 $H 並持續拋售，代幣價格從約 0.73 美元暴跌至 0.05 美元附近。鏈上調查員 ZachXBT 公開質疑事件「可能是人為安排的」，社區則將矛頭指向創始人 Terence Kwok 此前曾燒光 1.7 億美元投資人資金的創業黑歷史。

Humanity Protocol 的 $H 代幣在過去 12 小時內經歷了一場毀滅性暴跌。

據 The Block 及多家媒體報道，2026 年 6 月 9 日凌晨（UTC），鏈上分析師 Specter 率先發現與 Humanity Protocol 相關的錢包正遭到系統性盜取。創始人 Terence Kwok 隨後在 X 平臺公開確認：一名 Humanity Foundation 成員的私鑰遭到洩露，攻擊者藉此控制了多個基金會關聯錢包。

截至發稿，CoinGecko 數據顯示 $H 24 小時跌幅約 89%，從事件前約 0.73 美元暴跌至 0.13 美元附近，盤中最低觸及 0.05 美元。項目完全稀釋估值從約 73 億美元縮水至約 12 億美元。

17 個錢包被清空，攻擊者在 BSC 增發 1 億枚代幣

鏈上數據顯示，攻擊者從至少 17 個持有  H 代幣的錢包中盜取資金，總損失從最初的 500 萬美元迅速擴大至超過 3100 萬美元。據 DropsTab 引用的 Specter 追蹤數據，其中約 2370 萬美元已被兌換為 ETH，約 790 萬美元仍以 H 形式持有。

更具破壞性的是攻擊者在 BNB Chain 上的操作。安全機構 Blockaid 監測到，攻擊者獲取了 BSC 上的 H 代幣的代理管理權限（proxy admin），於 UTC 時間 02:02 至 02:09 期間，從零地址（null address）鑄造了總計 100,000,005 枚 $H，按鑄造時價格估算約值 1140 萬美元。這些新增代幣隨即通過 PancakeSwap、Kyber Network 等 DEX 拋售換取 BNB，進一步加劇賣壓。

據 Cointelegraph 報道，Arkham Intelligence 已將相關地址標記為「Humanity Protocol Exploiter」實體，鏈上追蹤仍在持續。Humanity 官方要求所有用戶暫停與跨鏈橋和流動性池的交互，並建議撤銷對 Humanity Protocol 合約的授權。

ZachXBT 公開質疑：「事件可能是人為安排的」

官方將事件定性為「私鑰洩露」，但這一說法正面臨鏈上調查員的公開挑戰。

知名鏈上偵探 ZachXBT 在事件曝光後發帖稱：「事件看起來可能是人為安排的（possibly staged），我不買團隊的說法。」他指出三個疑點：H 均通過 DEX 而非 CEX 拋售，這不符合典型黑客攻擊的資金轉移模式；加之三名核心團隊成員此前均有官司、財務欺詐或管理不善的記錄。

獨立分析師 Elton 的鏈上分析提供了更具體的技術線索：攻擊者錢包在事件發生前數週已經獲得資金注入，鑄幣權限早已「預熱」就緒，且兩條鏈上的拋售動作存在協調痕跡。Elton 認為這些模式「與內部人士或長期持有被洩露私鑰的外部攻擊者一致」。

不過，上述質疑目前均為推測，尚無確鑿證據證明系內部操作。Humanity 團隊的正式事後報告尚未發佈。

時機拷問：機構剛囤幣，解鎖將至，「黑客」精準到來

社區質疑的焦點在於事件發生的時間窗口。

據鏈上分析師 Ai 姨（@ai_9684xtpa）此前監測，僅在事件發生前 4 天（6 月 5 日），與數字資產託管商 Hex Trust 關聯的地址在 4 小時內購入 7223 萬枚 $H，價值約 4200 萬美元，佔流通量的 2.55%。這筆買入發生在 Humanity Foundation 4 月調整代幣解鎖計劃之後：該計劃允許早期投資者選擇以 70%折價提前一次性領取代幣，日期定在 6 月 26 日。

Ai 姨在事件發生後評論稱，Hex Trust 關聯實體剛剛大舉囤幣，解鎖即將到來，項目方還在場外回購代幣，結果今天直接黑客攻擊， H 鏈上價格近乎歸零。

據 CryptoRank 數據，H 原定 6 月的代幣解鎖規模約為 7240 萬美元，是當月第二大解鎖事件。

這些巧合不能直接推導出結論，但足以解釋為何社區信任已嚴重受損。

創始人黑歷史：Tink Labs 曾融 1.7 億美元后破產清算

對 Humanity Protocol 的信任危機並非始於今天。

據 KuCoin 新聞援引 Odaily 星球日報報道，創始人 Terence Kwok 20 歲時創立了香港智能手機租賃公司 Tink Labs，曾從富士康、軟銀、創新工場等機構融資約 1.7 億至 2 億美元，估值一度達 15 億美元，成為香港首家獨角獸。

但自 2017 年起公司持續虧損，2019 年 7 月超過 100 名歐洲員工未收到工資，8 月 1 日公司正式關閉，2020 年 1 月進入破產清算。據英國《金融時報》報道，一位前人力資源主管稱 Kwok 只在乎「賺錢」，1.7 億美元投資人資金「全部蒸發」。

六年後，Kwok 以 Humanity Protocol 重返市場，憑藉掌紋識別加零知識證明的「去中心化身份」敘事，再次拿到 Pantera Capital 和 Jump Crypto 領投的獨角獸估值（約 11 億美元）。

HTX Insights 引述的調查還提及，基金會負責人 Mario Nawfal 此前曾被指控拖欠工資、涉嫌不當融資及脅迫舉報人。ZachXBT 指出，四名核心團隊領導者中有三人存在歷史爭議。

團隊已在孵化新項目「Everything」，社區疑慮加深

據公開報道，Humanity 核心團隊已參與一個名為「Everything」的新項目。

Everything 於 1 月 26 日完成 690 萬美元種子輪融資，領投方正是 Humanity Investments（Humanity 旗下風投部門），參投方包括 Animoca Brands、Hex Trust、WallStreetBets 創始人 Jamie Rogozinski 及 Three Point Capital。

這一信息在 $H 暴跌後被社區重新挖出。有報道稱，社區猜測所謂「黑客攻擊」可能是團隊有意棄舊項目、將資源轉向新項目的一種退出方式。這一猜測尚無鏈上證據支持，但 Humanity Investments 直接領投 Everything 的事實，客觀上加深了利益衝突的觀感。

私鑰管理的不小心，還是故意為之？

據 CoinDesk 報道，此次事件符合 2026 年加密行業安全事故的主要模式：最大的損失來自被盜私鑰，而非有缺陷的智能合約代碼。據 CCN 數據，2026 年前四個月 DeFi 黑客攻擊損失已超過 10 億美元，多數被盜資金仍未追回。

一個以「去中心化身份驗證」為核心敘事的項目，因一把私鑰的洩露而遭受毀滅性打擊，諷刺意味不言自明。Blockaid 確認此次攻擊不涉及智能合約漏洞或協議層面的安全缺陷，純粹是密鑰管理失敗。

截至發稿，Binance 永續合約 $H/USDT 報價約 0.068 美元（跌幅約 91%），Bybit 現貨報約 0.15 美元，不同交易場所之間價格嚴重脫錨。24 小時聚合成交額約 5.99 億美元，約為流通市值的 2.7 倍，屬於事件驅動的強制重定價，而非正常換手。

事件仍在發展中。攻擊者地址仍持有部分 H，BSC 上新增鑄造代幣的處理方案尚不明確。在這些關鍵問題得到回應之前，H 在 BSC 上新增鑄造代幣的處理方案尚不明確。

不過，鏈上的更多數據，表明私鑰洩露地址的操作，很難用不小心解釋。鏈上分析師餘燼指出：

除開黑客增發的增發的那一億枚 H，前面幾個小時賣的 2 億多個 H 其實是從近 300 個在兩週前解鎖代幣以及 11 個月前收到代幣的錢包歸集出售的；而且這些錢包還都在 3 周前從 Gate 和 Bybit 提了 Gas 到地址裡。

Humanity Protocol 的官方事後報告尚未發佈。在問題得到鏈上可驗證的回答之前，任何關於「黑客攻擊」的定性都為時尚早。