币圈界报道：

单点失守引发跨链系统性危机

2026年6月9日，人类协议披露其核心基础设施遭受严重安全入侵，根源系一台受感染的开发机器暴露了七组高权限私钥。此次事件并非由代码漏洞触发，而是源于人为操作失误——所有攻击行为均基于合法密钥执行，使得链上监测几乎无法预警。

单一设备暴露全链控制权

调查确认，一名开发人员的终端设备于2025年6月左右感染恶意软件，攻击者借此获得完全系统权限。在此期间，多个关键私钥被意外备份至同一台主机，涵盖管理员热钱包、三组ETH Safe拥有者密钥及三组BNB Chain Safe拥有者密钥，共计七份敏感凭证集中存储。

创始人Terence Kwok公开承认事件，并呼吁用户暂停与桥接或流动性池的交互，直至官方确认安全状态。团队表示已启动应急响应，并联合第三方安全机构展开全面审查。

由于全部密钥共存于一个脆弱节点，攻击者得以实现对多条链协议的无缝接管。整个攻击过程未触碰智能合约逻辑，所有操作均使用有效签名完成，极大增加了早期识别难度。

三阶段协同攻击，层层突破防线

首波行动于2026年6月8日发起，攻击者通过被盗的管理员热钱包密钥，直接将604万枚H代币转入以太坊上的聚合地址，无需任何合约调用。

数小时后，攻击者动用三个已泄露的ETH Safe拥有者密钥，构建离线交易，成功将桥合约的ProxyAdmin所有权转移至其控制的钱包。随后，他们部署恶意合约实现，一次性提取1.41亿枚H代币，导致原保险箱资产被清空。

第三阶段转向BNB Chain。尽管该链的三组密钥与以太坊不同，但同样存于同一设备中。攻击者以相同方式夺取代理管理员权限，连续三次调用mint()函数，每次生成1亿枚新代币。截至事件终结，累计铸造达3亿枚，使总供应量从1.41亿飙升至4.41亿，增幅超过213%。

部分系统获救，但风险仍未解除

并非所有组件均遭破坏。以太坊上的主合约因由一个干净的4-of-7多签控制，未受影响。2026年6月9日，该多签成功冻结代币并升级至禁止转账的版本，阻止进一步损失。

此外，承载约8700万枚代币的Arbitrum标准桥也保持完整，未被波及。

然而，以太坊桥与BNB Chain的合约仍处于攻击者掌控之下。前者虽已冻结，但未恢复；后者代理管理权尚未归还，攻击者可随时继续增发。截至6月9日，仍有约2174万枚代币滞留在聚合钱包中，存在被清算或抛售的风险。

事故调查报告明确指出，本次攻击本质是密钥管理不当所致。生产环境签名密钥被错误地保存于通用开发机，而非专用硬件安全模块。攻击可能早有预谋，因攻击者在15小时内完成跨链协同动作，表明其已持有全部密钥长达一段时间。