Điểm Nổi Bật
Humanity Protocol ($H) đã chịu một cuộc tấn công tinh vi theo nhiều giai đoạn vào ngày 8 tháng 6 năm 2026 — lao dốc -80.46% trong 24 giờ từ mức cao nhất là $0.7320 xuống mức thấp nhất là $0.07471 — hiện đang giao dịch ở mức $0.1386 với vốn hóa thị trường là 392.6 triệu đô la.
Cuộc tấn công liên quan đến việc chiếm đoạt multisig 3 trên 5 — kẻ tấn công đã thu được 3 chữ ký, thay thế hợp đồng token bằng một phiên bản độc hại, và đúc 200 triệu $H từ con số 0 trước khi rút cạn ví hiện có đồng thời.
Tổng số tiền đã rút: $31M+ (17,800 ETH + 2,700 BNB) — tất cả đều được chuyển qua DEXes — với kẻ tấn công vẫn giữ một vị thế $H chưa bán ra đáng kể và thanh khoản trên chuỗi bị cạn kiệt nghiêm trọng.
Bốn dấu hiệu đỏ cụ thể — các ví được phối hợp trước khi được nạp tiền nhiều tuần, thời điểm mở khóa hoàn hảo, chỉ định tuyến DEX và khó khăn trong việc đánh cắp 3 chữ ký multisig từ bên ngoài — đang làm gia tăng nghi ngờ nghiêm trọng trong cộng đồng về sự tham gia của những người trong cuộc.
Vào ngày 8 tháng 6 năm 2026, Protocol Humanity ($H) đã phải chịu một trong những vụ khai thác gây sốc nhất trong năm. Token đã giảm hơn 80% chỉ trong vài giờ — từ đỉnh cao 24 giờ là $0.7320 xuống thấp nhất là $0.07471 — hiện đang giao dịch ở mức $0.1386 với vốn hóa thị trường khoảng $392.6 triệu.
Giá Humanity Protocol ($H)/Nguồn: Coinmarketcap
Những gì giao thức Humanity mô tả như một 'sự thỏa hiệp khóa riêng' là một cái gì đó tinh vi hơn rất nhiều — và gây thiệt hại hơn rất nhiều. Vụ khai thác ngày 9 tháng 6 năm 2026 không phải là một vụ vi phạm khóa đơn lẻ. Đó là một cuộc chiếm đoạt hợp đồng toàn bộ — bao gồm thỏa hiệp chữ ký multisig, thay thế hợp đồng proxy, và rút tiền từ các ví được phối hợp trên hàng trăm địa chỉ — tất cả được thực hiện với một mức độ chính xác và chuẩn bị mà bằng chứng trên chuỗi cho thấy không phải là ứng biến.
Như chúng tôi đã đề cập trong bài viết sụp đổ $H đầu tiên của mình — ZachXBT đã chỉ ra khả năng tham gia của nhà tạo lập thị trường và các nhà phân tích trên chuỗi đã ghi nhận gần 300 ví được nạp tiền trước đang bán từ hai nhóm mở khóa riêng biệt. Bài viết tiếp theo này cung cấp bức tranh kỹ thuật hoàn chỉnh về cách mà cuộc tấn công thực sự được thực hiện — từng bước một — dựa trên phân tích chi tiết được công bố bởi GoPlus Security.
Để có bối cảnh về cách mà các vụ khai thác minting loại này đã diễn ra trên các chuỗi khác — chúng tôi đã đề cập đến các cơ chế tương tự trong phân tích khai thác Hyperbridge của chúng tôi — nơi một kẻ tấn công đã mint 1 tỷ token DOT được cầu nối thông qua một lỗ hổng cổng — và bài viết khai thác KelpDAO của chúng tôi. Vụ tấn công $H theo kiến trúc khai thác cơ bản tương tự — nhưng với sự bổ sung của một hoạt động rút tiền phối hợp từ nhiều ví đã khuếch đại đáng kể tổng thiệt hại.
Tuyên bố Chính Thức — và Tại Sao Nó Không Đủ
Tài khoản chính thức của dự án @Humanityprot đã công bố:
"Chúng tôi biết về một sự cố an ninh liên quan đến sự thỏa hiệp của các khóa riêng thuộc về một thành viên của Quỹ Humanity... Vui lòng KHÔNG tương tác với cầu nối hoặc bất kỳ bể thanh khoản nào."
Nhóm đã xác nhận rằng họ đang làm việc với các chuyên gia an ninh và đối tác sàn giao dịch. Nhưng việc định hình điều này như một 'sự thỏa hiệp khóa riêng' đã giảm thiểu đáng kể những gì bằng chứng trên chuỗi cho thấy thực sự đã xảy ra. Đây không phải là một khóa đơn lẻ bị đánh cắp. Đây là một cuộc tháo dỡ có hệ thống kiến trúc an ninh của hợp đồng token — tiếp theo là sự khai thác phối hợp trên hàng trăm ví cùng lúc.
Phản ứng của Humanity về vụ hack/Nguồn: @Humanityprot (X)
Dưới đây là cách mà nó diễn ra.
Vụ hack Humanity ($H) — Từng Bước Một
Nguồn: Phân tích GoPlus Security
Bước 1 — Thỏa hiệp Ví Multisig
Hợp đồng token $H trên BNB Chain đã sử dụng một ví multisig 3 trong 5 Safe làm cơ chế kiểm soát truy cập — có nghĩa là bất kỳ hành động quản trị nào cũng cần chữ ký từ 3 trong 5 chủ sở hữu được chỉ định.
Kẻ tấn công đã lấy được 3 chữ ký — ngưỡng chính xác cần thiết — và đã sử dụng chúng để thay đổi chủ sở hữu của hợp đồng ProxyAdmin (0xd73Cd111). Cách mà chính xác 3 trong 5 chữ ký được lấy là câu hỏi chưa được giải quyết chính — và là điều mà trực tiếp thông tin tranh luận giữa người trong cuộc và bên ngoài.
Việc đạt được 3 trong 5 chữ ký multisig từ những bên độc lập thực sự thông qua một cuộc tấn công bên ngoài là vô cùng khó khăn. Mỗi người ký sẽ cần phải bị thỏa hiệp độc lập thông qua các vectơ tấn công riêng biệt — thỏa hiệp phần cứng, lừa đảo, hoặc kỹ thuật xã hội — mà không có bất kỳ ai trong 5 người ký nhận ra hoặc cảnh báo những người khác. Xác suất điều này xảy ra bên ngoài mà không có sự tham gia của người trong cuộc là thấp — đó là lý do tại sao sự nghi ngờ của cộng đồng về quyền truy cập của những người trong cuộc vào nhiều khóa ký không phải là không hợp lý.
Thỏa hiệp Ví Multisig/Nguồn: @GoPlusSecurity (X)
Bước 2 — Đạt được Quyền Sở Hữu Hoàn Toàn Hợp Đồng Token
Với quyền sở hữu ProxyAdmin đã được bảo đảm — ví của kẻ tấn công:
0x6aa22cb8420e94fc2119364b4c7885710ae753bb
trở thành chủ sở hữu mới của hợp đồng proxy chính thức $H (0x44F161aE) — cung cấp quyền quản trị hoàn toàn đối với cơ sở hạ tầng cốt lõi của token.
Đây là điểm không thể quay đầu. Một khi một kẻ tấn công nắm giữ quyền sở hữu hợp đồng proxy — họ có thể làm bất cứ điều gì mà quản trị viên hợp đồng hợp pháp có thể làm — bao gồm cả việc thay thế toàn bộ logic thực hiện.
Bước 3 — Nâng cấp lên Hợp Đồng Độc Hại
Với quyền quản trị đầy đủ — kẻ tấn công đã thay thế việc thực hiện token $H hợp pháp bằng hợp đồng độc hại của riêng họ (0xD18cDc9F). Cập nhật này đã bảo tồn vẻ ngoài bên ngoài của token — những người nắm giữ hiện tại vẫn thấy số dư $H của họ — nhưng logic cơ sở giờ đây phục vụ cho kẻ tấn công thay vì cho giao thức.
Kỹ thuật này — thay thế hợp đồng proxy thông qua quyền truy cập quản trị bị thỏa hiệp — là một trong những vectơ tấn công nguy hiểm nhất trong kiến trúc hợp đồng thông minh có thể nâng cấp. Đó là lý do tại sao các kiểm toán an ninh hợp đồng thông minh tập trung đặc biệt vào các cơ chế kiểm soát truy cập và tại sao các ngưỡng multisig tồn tại. Trong trường hợp này, cả hai biện pháp bảo vệ đều đã bị vượt qua.
Đạt được Quyền Sở Hữu Hoàn Toàn Hợp Đồng Token/Nguồn: @GoPlusSecurity (X)
Bước 4 — Minting 200 triệu token mới $H
Với hợp đồng độc hại đã được thiết lập — kẻ tấn công đã gọi hàm mint trong hai đợt:
Mint đầu tiên: 100 triệu $H
Hai giờ sau: Thêm 100 triệu $H
200 triệu token được tạo ra từ không có gì — thêm vào nguồn cung lưu thông của một token có thanh khoản thị trường hiện có. Tác động pha loãng lên những người nắm giữ hiện tại là ngay lập tức và thảm khốc — và các token mới được mint cung cấp thêm đạn bán trên đỉnh của các ví hiện có đang bị rút đồng thời.
Như chúng tôi đã đề cập trong vụ khai thác minting Hyperbridge — việc mint token mới kết hợp với việc thanh lý trên DEX đã vượt qua các rào cản cung cấp mà thông thường sẽ hạn chế việc bán của những người trong cuộc. Thiệt hại kinh tế đã được khuếch đại vượt quá những gì mà những nắm giữ token trước đó có thể tạo ra.
Minting 200 triệu token mới $H/Nguồn: @GoPlusSecurity (X)
Bước 5 — Rút tiền từ các token hiện có từ nhiều ví
Cùng lúc với hoạt động minting — các kẻ tấn công đã truy cập 7 ví lớn cộng với hàng trăm địa chỉ nhỏ hơn — bao gồm các phân bổ đội ngũ và quỹ gần đây đã được mở khóa — và đã đổ khoảng 249 triệu token $H hiện có vào thị trường.
Quy mô của việc truy cập ví phối hợp này — trên các địa chỉ với lịch sử mở khóa khác nhau kéo dài nhiều tuần và tháng — là điều làm cho câu chuyện khóa riêng đơn lẻ trở nên không hợp lý về cấu trúc. Như đã được ghi chép trong bài viết đầu tiên về $H của chúng tôi — các ví bán đã rút phí gas của họ từ Gate.io và Bybit ba tuần trước sự kiện — một thời gian chuẩn bị mà định nghĩa là không phù hợp với việc khai thác phản ứng của một lỗ hổng được phát hiện một cách bất ngờ.
Bước 6 — Rút tiền mọi thứ thông qua DEXes
Tất cả các token — 200 triệu token mới minted cộng với 249 triệu token đã rút từ các ví hiện có — đang được đổi hệ thống trên các sàn giao dịch phi tập trung để lấy BNB và ETH:
Tài sản Nhận ĐượcSố LượngGiá Trị Xấp XỉETH~17,800 ETH~$29.7MBNB~2,700 BNB~$1.6M Tổng—$31M+
Mỗi lần bán đều được chỉ định hoàn toàn thông qua DEXes — cố ý tránh xa bất kỳ sàn giao dịch tập trung nào nơi yêu cầu KYC, giám sát tài khoản, hoặc đóng băng giao dịch có thể xác định hoặc ngăn chặn việc khai thác. Kỷ luật hoạt động của việc chỉ định hàng trăm lần bán ví hoàn toàn thông qua DEXes — trên toàn bộ hoạt động — nhất quán với những người tham gia hiểu chính xác cách thực hiện một lối thoát sạch.
Cashing Out $H Thông Qua DEXes/Nguồn: @GoPlusSecurity (X)
Bốn Dấu Hiệu Đỏ Không Phù Hợp Với Một Cuộc Tấn Công Bên Ngoài
Phân tích của GoPlus Security và các cuộc điều tra trong cộng đồng đã xác định bốn đặc điểm cụ thể mà mỗi đặc điểm đều bất thường — và tập hợp lại tạo nên một trường hợp gián tiếp mạnh mẽ cho sự tham gia của những người trong cuộc:
Gas được nạp tiền trước nhiều tuần Các ví bán đã rút phí gas từ Gate.io và Bybit ba tuần trước khi xảy ra vụ khai thác. Các kẻ tấn công bên ngoài phát hiện ra lỗ hổng không chuẩn bị cơ sở hạ tầng thoát khỏi trong nhiều tuần. Những người trong cuộc lên kế hoạch thoát thì có.
Thời điểm hoàn hảo với các mở khóa token lớn Cuộc tấn công diễn ra ngay trước các mở khóa token quan trọng đã được lên lịch — tối đa hóa lượng cung cấp có sẵn để khai thác trong khi giảm thiểu thời gian giữa mở khóa và thoát. Độ chính xác về thời gian này cho thấy sự nhận thức về lịch trình mở khóa từ bên trong.
Chỉ định tuyến DEX trên tất cả các ví Mỗi lần bán — trên hàng trăm ví — hoàn toàn tránh xa các sàn giao dịch tập trung. Mức độ kỷ luật hoạt động này trên một bộ ví phân tán cho thấy sự tham gia phối hợp theo một giao thức chung thay vì một kẻ tấn công bên ngoài ứng biến.
Thỏa hiệp 3 trong 5 multisig Việc lấy 3 chữ ký từ một multisig 3 trong 5 hoàn toàn thông qua các phương tiện bên ngoài — mà không có bất kỳ quyền truy cập nào từ bên trong vào cơ sở hạ tầng ký — yêu cầu phải thỏa hiệp độc lập 3 môi trường phần cứng hoặc phần mềm riêng biệt thuộc về 3 cá nhân khác nhau. Xác suất đạt được điều này mà không có sự hợp tác từ bên trong là cực kỳ thấp.
Tình trạng Hiện Tại và Những Gì Vẫn Có Rủi Ro
ItemStatusAttacker’s remaining $HSignificant unsold positionDEX liquiditySeverely depletedBridge and liquidity poolsDo NOT interactOfficial investigationOngoingFunds recoveredNone confirmed
Kẻ tấn công vẫn giữ một vị trí $H chưa bán đáng kể — và với tính thanh khoản DEX bị cạn kiệt nghiêm trọng — bất kỳ nỗ lực nào để bán các token còn lại sẽ gây ra ảnh hưởng giá thảm khốc trên một thị trường đã bị tàn phá.
$H Hacker Holding/arkm
Những Gì Người Nắm Giữ Phải Làm Ngay Bây Giờ
Hủy tất cả các phê duyệt hợp đồng ngay lập tức — Sử dụng Revoke.cash hoặc công cụ tương tự để loại bỏ mọi phê duyệt liên quan đến $H khỏi ví của bạn. Đây là hành động bảo vệ quan trọng nhất có sẵn.
Không tương tác với cầu nối hoặc bể thanh khoản — Cả hai vẫn bị thỏa hiệp cho đến khi dự án xác nhận một giải pháp hoàn chỉnh và kiểm toán an ninh.
Chỉ theo dõi các kênh chính thức đã được xác minh — Theo dõi @Humanityprot để nhận thông tin chính thức — bỏ qua các suy đoán của cộng đồng về kế hoạch phục hồi hoặc đốt token cho đến khi được xác nhận chính thức.
Không mua dip — Với kẻ tấn công giữ một vị trí chưa bán đáng kể và tính thanh khoản bị cạn kiệt nghiêm trọng — bất kỳ sự ổn định giá nào rõ ràng cũng đều mong manh và ngay lập tức có khả năng đảo ngược khi có bán thêm.
Tóm lại
Vụ khai thác Protocol Humanity không phải là một sự thỏa hiệp khóa riêng đơn giản. Đó là một cuộc tấn công đa giai đoạn tinh vi — chiếm đoạt multisig, thay thế hợp đồng proxy, mint token mới, và rút tiền từ các ví được phối hợp trên hàng trăm địa chỉ — được thực hiện với sự chuẩn bị bắt đầu ít nhất ba tuần trước sự kiện.
Việc 3 trong 5 chữ ký multisig có được thông qua tấn công bên ngoài hay quyền truy cập người trong cuộc là câu hỏi chưa được giải quyết chính. Bằng chứng trên chuỗi — các ví gas được nạp tiền trước nhiều tuần, khai thác mở khóa đúng thời điểm, kỷ luật chỉ định tuyến DEX, và độ phức tạp hoạt động của việc phối hợp hàng trăm ví — xây dựng một trường hợp gián tiếp mà cộng đồng và các nhà điều tra như ZachXBT đang nghiêm túc xem xét.
$31 triệu đã bị rút. Kẻ tấn công vẫn giữ token. Tính thanh khoản đã cạn kiệt. Cho đến khi cuộc điều tra cho ra những phát hiện đã được xác minh — sự thận trọng cực độ là phản ứng duy nhất phù hợp.
Tuyên bố từ chối trách nhiệm: Các quan điểm và phân tích được trình bày trong bài viết này chỉ dành cho mục đích thông tin và phản ánh quan điểm của tác giả, không phải là lời khuyên tài chính. Các mẫu kỹ thuật và chỉ số được thảo luận có thể chịu ảnh hưởng của biến động thị trường và có thể không mang lại kết quả như mong đợi. Các nhà đầu tư được khuyên nên thận trọng, tiến hành nghiên cứu độc lập và đưa ra quyết định phù hợp với khả năng chấp nhận rủi ro cá nhân của họ.