币圈界报道：

跨链安全事件链上证据显示双重攻击存在协同轨迹

针对4月发生的KelpDAO跨链桥被盗2.92亿美元及6月Humanity Protocol因私钥泄露引发资金损失的两起事件，市场持续关注其背后是否存在共同操控者。最新链上追踪显示，两起攻击所涉资金在多个环节出现重合，暗示高度一致的操作模式。

多笔资金经由比特币网络完成聚合

据区块链分析师Specter披露，源自Humanity Protocol攻击的15,403枚ETH（约2360万美元）被转入一个新生成的以太坊地址后，随即通过跨链桥迁移至比特币网络，并与此前追溯至KelpDAO事件的资金混合。这一操作特征与典型洗钱流程高度吻合。

此类资金集中行为在朝鲜关联黑客组织Lazarus集团的历史案例中频繁出现。结合ZachXBT与Specter的联合分析，两起独立事件的资产最终流向同一出口节点，进一步强化了关联性假设。

攻击路径暴露跨链桥底层漏洞

Chainalysis调查指出，KelpDAO事件中，攻击者利用对LayerZero Labs内部RPC节点的控制权，同时发动外部节点DDoS攻击，从而破坏了跨链桥合约的信任机制。这导致116,500枚rsETH在目标链上无对应销毁地释放，形成虚假流动性。

该攻击手法已被归因于朝鲜支持的黑客团体。Arbitrum安全委员会随后冻结超过30,000枚ETH，而KelpDAO启用的紧急关闭机制有效阻断了额外9500万美元资金的提取。

钓鱼邮件成关键入侵入口

尽管手段不同，Humanity Protocol事件仍被指向相似势力。根据Quantstamp于6月11日发布的报告，攻击者伪装成韩国主流交易所Bithumb的邮件，成功诱骗公司高管Chong Yee Wai。其植入的恶意软件赋予远程桌面访问权限，进而复制设备中的MetaMask密钥。

这些密钥被用于在以太坊与BNB Smart Chain上非法铸造并抛售$H代币，造成代币价格暴跌近89%。量化追踪显示，相关攻击地址已累计获取超2100万美元价值的ETH。

司法程序加剧追偿复杂度

当前追赃进程面临法律层面的多重挑战。美国法院对朝鲜的未决判决总额已逾8.77亿美元。今年5月，原告依据4月30日法院指令，申请初步禁令以扣押Arbitrum DAO冻结的约30,766枚ETH（市值约7100万美元），主张其应属没收范畴。

与此同时，Arbitrum已启动治理投票，计划将冻结资金移交由Aave Labs、KelpDAO、LayerZero、EtherFi和Compound共同支持的追回机制。法院已批准该提案，为资金转移扫清障碍。

尽管链上关联性得到确认，但Humanity Protocol事件的损失规模及是否适用相同法律程序仍待进一步厘清。