Một vụ xâm phạm token Humanity Protocol H vào ngày 8 tháng 6 năm 2026 đã trở thành một trong những vụ vi phạm token nghiêm trọng nhất trong năm, với thiệt hại có thể vượt quá 36 triệu đô la. Cuộc tấn công đã ảnh hưởng đến cả Ethereum và Binance Smart Chain trong một khoảng thời gian phối hợp, và diễn ra đủ nhanh để rút, đúc và bán tài sản trước khi hầu hết các nhà nắm giữ hiểu chuyện gì đang xảy ra.
Theo một cuộc điều tra của quantstamp được công bố vào ngày 11 tháng 6, vụ vi phạm bắt đầu từ một email lừa đảo và leo thang thành một cuộc tấn công chiếm đoạt cross-chain hoàn chỉnh. Từ điểm xâm nhập đó, kẻ tấn công đã đánh cắp khóa, di chuyển hàng triệu token $H, đúc nguồn cung mới trên BSC, và thanh lý số tiền thu được thông qua các sàn giao dịch phi tập trung.
Humanity Protocol đã mời công ty bảo mật blockchain Quantstamp vào cùng ngày xảy ra cuộc tấn công. Trên thực tế, cuộc điều tra cho thấy một cuộc tấn công lừa đảo tiền điện tử có thể trở thành nhiều hơn là một vấn đề hộp thư khi các khóa quản trị nằm gần một thiết bị cá nhân.
Cách mà sự xâm phạm token H của Humanity Protocol diễn ra
Cuộc xâm phạm vào ngày 8 tháng 6 trên Ethereum và BSC
Sự xâm phạm token H của Humanity Protocol không phải là một lỗi ngẫu nhiên của hợp đồng thông minh. Thay vào đó, đó là một vụ trộm có mục tiêu, dựa vào thông tin xác thực, đã cho kẻ tấn công quyền kiểm soát hiệu quả đối với cơ sở hạ tầng quan trọng của giao thức trên cả Ethereum và Binance Smart Chain.
Hoạt động này diễn ra trong khoảng tám giờ. Đến cuối, giá token $H đã giảm khoảng 89%, các nhà cung cấp thanh khoản bị ảnh hưởng nặng nề, và những người nắm giữ còn lại đã phải đối mặt với các tài sản bị giảm giá nghiêm trọng. Trong khi đó, kẻ tấn công đã nhanh chóng chuyển sang giai đoạn tiếp theo: thanh lý.
Các tài sản bị nhắm đến là trung tâm cho hoạt động của token. Kẻ tấn công đã truy cập vào tài khoản Ethereum của Humanity Protocol và một BSC Safe, là một phần của việc phát hành và quản lý token. Khoảng 150 ví $H đang hoạt động, cùng với ví được sử dụng để tài trợ phí gas của họ, cũng đã bị rút cạn.
Email lừa đảo dẫn đến việc đánh cắp khóa từ Chong Yee Wai
Mọi thứ đều quay trở lại một email lừa đảo được gửi đến Chong Yee Wai, một giám đốc tại thực thể phát hành Humanity Protocol. Tin nhắn giả dạng sàn giao dịch tiền điện tử Hàn Quốc Bithumb và dường như liên quan đến lịch trình khóa cung cấp lưu thông, điều này khiến nó trông giống như một thông tin liên lạc hành chính thông thường.
Email bao gồm một tệp đính kèm độc hại có tên Bithumb_Circulating_Supply_Lockup_Schedule.zip và một liên kết đến miền do kẻ tấn công kiểm soát. Sau khi mở, phần mềm độc hại đã cài đặt phần mềm truy cập từ xa trên máy Windows của Chong và trích xuất các khóa riêng mà anh ấy sử dụng cho các hoạt động trên chuỗi. Chong đã xác nhận các hành động của người dùng liên quan đến các nhà điều tra của Quantstamp.
Chi tiết đó quan trọng vì sự xâm phạm không bắt đầu bằng một lỗi giao thức. Nó bắt đầu với một người nhấp vào một tệp. Đổi lại, việc quản lý khóa có giá trị cao dường như đã liên quan đến một thiết bị cá nhân thay vì lưu trữ lạnh bị cô lập hoặc các mô-đun bảo mật phần cứng, điều này đã tạo điều kiện cho chuỗi sự kiện xảy ra.
Trộm token đa chuỗi và mint trái phép
Với các khóa bị đánh cắp trong tay, kẻ tấn công đã nhanh chóng di chuyển qua cả hai chuỗi cùng một lúc. Cuộc tấn công token Ethereum BSC diễn ra song song, điều này khiến cho phản ứng trở nên khó khăn hơn và giảm thời gian có sẵn để can thiệp.
Trên Ethereum, kẻ tấn công đã sử dụng khóa tài khoản bị đánh cắp của Chong để thay thế việc triển khai của một proxy warp-route Hyperlane và chuyển khoảng 141,18 triệu token $H đến một địa chỉ do kẻ tấn công kiểm soát.
Trên BSC, hoạt động đã tiến xa hơn. Sử dụng ba khóa Safe signer bị đánh cắp, kẻ tấn công đã chiếm quyền sở hữu một hợp đồng ProxyAdmin và sau đó dùng quyền kiểm soát đó để mint 100 triệu token $H mới vào một địa chỉ vừa được tạo. Đây không chỉ là ăn cắp; mà còn là việc tạo token trái phép làm tăng cung cấp trên chuỗi theo thời gian thực.
Bởi vì kẻ tấn công hoạt động trên Ethereum và BSC cùng một lúc, không có một hành động phòng thủ đơn lẻ nào có thể dễ dàng ngăn chặn thiệt hại trước khi việc thanh lý hoàn tất. Một sự tạm dừng, một hợp đồng bị đóng băng, hay một cầu ngừng trên một chuỗi sẽ không nhất thiết ngăn chặn được chuỗi kia.
Bán token trên Uniswap và PancakeSwap đã thúc đẩy sự sụt giảm giá.
Khi các token đến tay các ví do kẻ tấn công kiểm soát, giai đoạn thanh lý bắt đầu. Kẻ tấn công đã bán $H trên Uniswap trên Ethereum và PancakeSwap trên BSC trong khoảng tám giờ, chuyển đổi nguồn cung bị đánh cắp và được mint thành ETH và BNB.
Áp lực bán là không ngừng nghỉ. Việc giá token giảm 89% trong một phiên giao dịch là không phải là một điều chỉnh nhẹ; nó gần như xóa sổ hoàn toàn cho những người nắm giữ vẫn còn bị ảnh hưởng. Các nhà cung cấp thanh khoản trên cả hai sàn giao dịch phi tập trung cũng đã chịu thiệt hại đáng kể khi việc bán tháo kéo cạn các pool và mở rộng chênh lệch.
Quantstamp cho biết số tiền đã có thể theo dõi đến các địa chỉ kẻ tấn công đã vượt quá 21 triệu USD bằng ETH. Doanh thu BNB vẫn đang được đánh giá, và con số cuối cùng vẫn chưa được hoàn thành.
Các phương tiện khác nhau đã báo cáo các tổng thiệt hại khác nhau. The Block đưa ra con số trên 32 triệu USD, trong khi Decrypt báo cáo khoảng 36 triệu USD. Sự chênh lệch có thể phản ánh thời gian và liệu doanh thu BNB được đánh giá một phần có được tính vào hay không. Hiện tại, tổng số ETH đã xác nhận cung cấp một mức sàn, không phải là trần.
Tại sao sự xâm phạm token H của Humanity Protocol lại nổi bật
Cuộc tấn công nổi bật vì hai lý do. Đầu tiên, nó kết hợp việc đánh cắp thông tin xác thực với việc chiếm quyền hợp đồng thông minh, vì vậy kẻ tấn công không cần phải tìm lỗi mã. Thay vào đó, họ đã sử dụng quyền truy cập quản trị hợp pháp. Thứ hai, hoạt động này đã diễn ra trên nhiều chuỗi ngay từ đầu, với Ethereum và BSC chạy song song chứ không phải lần lượt.
Cuộc xâm phạm cũng củng cố một mô hình mà các nhà nghiên cứu bảo mật đã cảnh báo trong nhiều năm: các giao thức phi tập trung thường chỉ an toàn như những người nắm giữ khóa quản trị. Không có cuộc kiểm toán nào có thể ngăn cản một giám đốc mở một tệp zip độc hại trên máy tính Windows cá nhân.
Cuộc điều tra của Quantstamp vẫn đang tiếp diễn, và các phát hiện có thể được cập nhật khi nhiều hoạt động trên chuỗi hơn được theo dõi. Con số tổng thu nhập từ BNB vẫn đang được xem xét, và các ví bị xâm phạm khác vẫn có thể xuất hiện trong phân tích chuỗi.
Câu hỏi thường gặp
Kẻ tấn công đã làm cách nào để truy cập vào các khóa token của Humanity Protocol?
Kẻ tấn công đã gửi một email lừa đảo tới giám đốc Chong Yee Wai, giả dạng sàn giao dịch Hàn Quốc Bithumb. Email chứa một tệp đính kèm độc hại đã cài đặt phần mềm độc hại truy cập từ xa trên máy Windows của anh ấy, sau đó được sử dụng để đánh cắp các khóa riêng mà anh ấy kiểm soát.
Tác động của cuộc tấn công lên giá token $H là gì?
Giá token $H đã sụp đổ khoảng 89% sau khi kẻ tấn công bán các token bị đánh cắp và được mint trên Uniswap và PancakeSwap trong khoảng tám giờ vào ngày 8 tháng 6 năm 2026.
Những chuỗi nào bị ảnh hưởng bởi sự xâm phạm?
Cả Ethereum và Binance Smart Chain đều bị nhắm đến trong một hoạt động phối hợp đa chuỗi diễn ra đồng thời vào ngày 8 tháng 6 năm 2026.
Cuộc xâm phạm đã gây ra thiệt hại tài chính bao nhiêu?
Doanh thu ETH đã xác nhận tại các địa chỉ kẻ tấn công được biết đến đã vượt quá 21 triệu USD. Doanh thu BNB vẫn đang được đánh giá. Các báo cáo truyền thông riêng lẻ đã ước tính tổng thiệt hại vào khoảng từ 32 triệu đến 36 triệu USD.
Những bước nào đã được thực hiện để điều tra sự cố?
Humanity Protocol đã hợp tác với Quantstamp, Inc. vào ngày 8 tháng 6 năm 2026, cùng ngày xảy ra cuộc tấn công. Nhóm phản ứng sự cố của Quantstamp đã tái tạo hoạt động trên chuỗi và kiểm tra các thiết bị thuộc về Chong Yee Wai như một phần của cuộc điều tra đang diễn ra.