Humanity Protocol 公司披露称，6 月 8 日的 $H 代币安全事件源于一次定向钓鱼攻击。一名董事的管理凭证和私钥被盗后，攻击者得以升级合约、转移代币，并在 BNB Smart Chain 上继续增发新币。项目方表示，这次事件已导致其 BSC 部署永久失陷。

攻击起点指向伪装邮件

项目方称，攻击最初来自一封冒充韩国交易所 Bithumb 的邮件。由于被攻击董事此前曾与 Bithumb 沟通，这封邮件看起来像是正常更新，并附带了恶意文件。

团队表示，文件被打开后，设备被植入远程控制恶意程序，攻击者随后取得了完整桌面访问权限，而且没有触发终端安全防护。借助这一权限，攻击者复制了设备中的钱包数据和私钥，并进一步发起链上操作。

安全公司 Quantstamp 在调查中称，相关恶意软件工具和证书签名模式带有“朝鲜相关入侵活动”的特征，但报告没有作出最终归因。

攻击者升级合约并增发 $H

项目方称，被盗私钥属于一名董事。攻击者先在以太坊侧升级合约，并转移约 1.4118 亿枚 $H 代币。随后又控制了 BNB Chain 上的 ProxyAdmin 合约，从而直接铸造新的 $H。

这些新增代币随后被投向流动性池，并在 Uniswap 和 PancakeSwap 上持续卖出，过程大约持续 8 小时。项目方称，这一操作重创了流动性，也导致代币价格快速下跌，持币者和流动性提供者均受到冲击。

项目方同时强调，事件并非源于底层智能合约代码漏洞，而是管理权限在钓鱼攻击后被未授权获取。

以太坊侧已冻结，BSC 部署将放弃

这次事件也让 Humanity Protocol 在以太坊和 BNB Chain 上的部署出现分化。项目方表示，以太坊侧代币合约已通过另一套未被攻击者控制的干净多签钱包完成冻结。

项目方还称，官方 Humanity Mainnet 桥目前未受影响。不过，BNB Chain 上的部署已被认定为永久失陷，因为攻击者仍掌握管理权限，理论上可以继续增发新的 $H。

• 以太坊侧合约已冻结
• 官方主网桥未受影响
• BSC 侧因管理权失控被放弃

补充信息：项目方称，攻击者在以太坊与 BNB Chain 之间转移并增发代币后，曾在 Uniswap 和 PancakeSwap 上持续抛售约 8 小时。