币圈界报道：

开发者机感染恶意软件引重大安全事件

Humanity Protocol披露，一起严重安全事件的根源是一台被恶意软件渗透的开发人员终端，该设备意外暴露了多个核心私钥，直接导致以太坊及BNB智能链上共计约4.47亿枚H代币遭到未经授权的转移与增发。

私钥泄露成攻击起点，未涉及合约架构缺陷

项目方指出，此次攻击源于某开发者设备的root权限被窃取，进而获取了七组敏感密钥。这些密钥在2025年6月主网上线期间被误备份，涵盖热钱包管理权、三个以太坊Safe所有者身份以及三个BNB Smart Chain Safe所有者凭证，使攻击者得以绕过常规验证机制，全面控制关键系统。

三阶段攻击实现跨链资产操控

调查数据显示，攻击行为分三次于6月8日至9日实施。首阶段通过泄露的热钱包私钥提取604万枚H代币；第二阶段利用六人以太坊Safe中的三把密钥，将桥合约的ProxyAdmin所有权转移至攻击者钱包，随后升级为恶意版本并单笔提取1.4118亿枚代币，交易签名符合Safe授权标准，表面合规实则已被劫持。

在BNB链上，另三把被窃取的Safe密钥赋予攻击者对代币合约的控制权。部署恶意逻辑后，执行三笔各1亿枚的铸造操作，使总供应量从1.411亿增至4.411亿枚，完成大规模增发。

单一入侵点锁定，追偿面临挑战

尽管以太坊桥资产可追溯，但因攻击者仍掌控BNB链上桥与代币合约的ProxyAdmin权限，相关代币无法回收。项目方确认，所有受影响合约的所有权目前仍在攻击者手中。

此前虽有员工设备遭侵的通报，但最新分析明确指向一台感染恶意软件的开发者机器，且所有七把密钥均源自该单一终端。然而，攻击者何时取得访问权限、设备如何被攻陷、密钥被滥用时长等关键信息仍未查明。

为应对危机，项目方已暂停涉事桥的存提功能，上线公开资产追踪平台，并设立100万USDT悬赏，用于奖励能提供有效线索以协助追回资金的信息。所有成功追回的资金将用于回购H代币，恢复生态信心。

“我们正全力制定追回方案，同时向社区透明展示全部进展。实时追踪器已开放，用户可监控攻击地址及其下游转账路径。”