Innlegg

#Humanity攻击根因确认：员工电脑被入侵 这个剧本看得我想笑 员工电脑被入侵，你们会不会瞬间想起那些经典新闻：“该员工系临时工”“已对相关责任人进行严肃处理”…… 这次去中心化身份项目 Humanity Protocol（简称 Humanity）直接把这个梗演成了 crypto 现实版。官方确认：H 代币遭遇大规模攻击，损失超过 3600 万美元，根因就是一名员工的笔记本电脑被入侵，导致多个 Gnosis Safe 多签密钥泄露。 攻击过程：一台笔记本，多个链桥全崩 攻击者通过入侵员工电脑，窃取了控制 Hyperlane 跨链桥 ProxyAdmin 的 Gnosis Safe 密钥。在以太坊上，6 个所有者密钥中 3 个被泄露；在 BNB Chain 上，5 个所有者密钥中同样 3 个被泄露。 攻击者接管 ProxyAdmin 所有权后，升级桥合约为恶意版本： - 以太坊链上一次性转出约 1.412 亿枚 H 代币。 - BNB Chain 上部署无限铸币恶意实现，分两批铸造 2 亿枚 H 代币直接打入攻击者钱包。 总计影响约 4.47 亿枚 H（含窃取、桥排水和铸造），攻击者快速在 DEX 上抛售，H 代币价格从攻击前约 0.7 美元附近暴跌至最低 0.05 美元附近，跌幅超过 90%，市值瞬间蒸发数十亿美元。 这不是什么高深零日漏洞，就是最朴实的社会工程 + 恶意软件：员工电脑中招 → 私钥/多签泄露 → 全盘皆输。 临时工梗的 crypto 现实版 Humanity 作为一个主打掌纹生物识别 + 去中心化身份的项目，本该最懂“Proof of Humanity”，结果还是栽在了最中心化的单点——一台普通笔记本。去中心化喊得震天响，最后还是“员工笔记本文学”收场，讽刺得让人想笑。 这再次证明：人类因素永远是最大弱点。再多的多签，如果密钥全挤在同一台机器上，就还是单点故障。基金会成员的电脑安全意识，也可能成为致命漏洞。 教训：键盘侠们，该醒醒了 1. 密钥永不离线：核心多签尽量用硬件钱包 + 离线签名，热钱包只存少量资金。 2. 设备隔离：管理合约权限的机器绝不日常上网、绝不开未知邮件或附件。 3. 真正去中心化：把治理和升级权限分散到 DAO 或更多独立实体，而不是依赖少数人的笔记本。 4. 事后透明：希望 Humanity 能把资产冻结、桥接暂停和恢复计划真正落实好。 笑归笑，安全无小事。下次项目方（或者你自己）的电脑被入侵时，可别再给“临时工文学”贡献新素材了。 $H #Hayes清仓验证，预言正在兑现？ #波动雷达：币种异动观察