Humanity bị đánh cắp 31 triệu USD, một khóa riêng tư khiến giá token giảm 90%

Biên tập: ChandlerZ, Foresight News

Ngày 9 tháng 6, theo dữ liệu giám sát của nhà phân tích on-chain Specter, các ví từng tương tác với dự án danh tính số Humanity đang bị tấn công liên tục. Hiện đã có hàng trăm địa chỉ ví nắm giữ token H bị đánh cắp, tổng thiệt hại vượt quá 31 triệu USD. Trong đó, khoảng 9 triệu USD đã được chuyển đổi thành ETH, và khoảng 9.9 triệu USD khác vẫn tồn tại dưới dạng token H.

Sau đó, người sáng lập Humanity, Terence Kwok, đã xác nhận sự cố an ninh, liên quan đến việc rò rỉ khóa riêng tư của một thành viên quỹ. Để phòng ngừa, ông đề nghị người dùng tạm thời không tương tác với cầu nối cross-chain hoặc bất kỳ pool thanh khoản nào của Humanity cho đến khi có xác nhận an toàn tiếp theo. Đội ngũ đang hợp tác với các chuyên gia an ninh và đối tác sàn giao dịch để xử lý và sẽ tiếp tục cập nhật tiến triển cho cộng đồng.

Giá token H đã giảm mạnh từ mức khoảng 0.7 USDT xuống mức thấp nhất 0.052 USDT, giảm hơn 90% trong 24 giờ. Tính đến thời điểm viết bài, H giao dịch ở mức 0.1368301 USDT, vốn hóa thị trường từ 2 tỷ USD giảm xuống khoảng 35.7 triệu USD.

Đến 11:00 ngày 9 tháng 6, kẻ tấn công bị nghi ngờ đã đúc mới 100 triệu token H của Humanity Protocol và đang bán chúng để đổi lấy BNB.

Một dự án chưa thực sự "chứng minh tính người"

Humanity Protocol được thành lập vào năm 2024, định vị là mạng danh tính số phi tập trung, điểm bán hàng cốt lõi là sử dụng nhận dạng sinh trắc học lòng bàn tay và bằng chứng không tiết lộ thông tin để xác minh người dùng có phải là người thật hay không. Dự án được xây dựng trên Polygon CDK (zkEVM), tự nhận có thể giải quyết các vấn đề tấn công Sybil, tài khoản giả và danh tính do AI tạo ra mà không tiết lộ thông tin cá nhân.

Câu chuyện này vào năm 2024 đã thu hút sự quan tâm lớn từ vốn đầu tư, Humanity Protocol lần lượt hoàn thành hai vòng gọi vốn, tổng cộng 50 triệu USD. Vòng hạt giống 30 triệu USD, định giá 1 tỷ USD, với sự tham gia của các tổ chức như Kingsway Capital, Animoca Brands, Blockchain.com và Shima Capital. Vòng đầu tư 20 triệu USD vào tháng 1 năm 2025 do Pantera Capital và Jump Crypto dẫn đầu, nâng định giá lên 1.1 tỷ USD.

Quỹ Humanity cũng quy tụ nhiều nhân vật nổi tiếng, do Chủ tịch Animoca Brands Yat Siu đứng đầu, các đồng sáng lập bao gồm người sáng lập công ty tư vấn blockchain quốc tế Mario Nawfal, và chuyên gia đầu tư cấp cao của Morgan Stanley và Ortus Capital, Yeewai Chong.

Ngày 25 tháng 6 năm 2025, token H được niêm yết thông qua cơ chế Fairdrop, được cho là lần phân phối token đầu tiên trong lịch sử Web3 chỉ dành cho những người đã được xác minh là người thật. Tuy nhiên, hai ngày sau khi niêm yết, DL News đã đăng tải một đoạn hội thoại bị rò rỉ của người sáng lập. Trong đoạn hội thoại, Kwok thừa nhận rằng trong số 9 triệu Human ID được tạo trên mạng, chỉ có khoảng 1 triệu ID hoàn thành xác minh sinh trắc học, nghĩa là có tới 88% người dùng có thể là robot.

Ngoài ra, theo tiết lộ từ người dùng X platform SCoin (@ LianFang _), AB Kuai . Dong (@_FOR AB ), Humanity Protocol (H) có thể là một "dự án Trung Quốc khoác vỏ ngoài", trong thư viện tài nguyên mã APP vẫn còn lưu lại hình ảnh của nhà cung cấp kiểm soát ra vào Thâm Quyến Zhanteng Information, khiến tính xác thực bị nghi ngờ. Người dùng mạng cho biết phần lớn độ nóng trên nền tảng xã hội của dự án là do các tài khoản nhỏ tự diễn, sự tham gia thực tế của người dùng còn đáng ngờ.

AB Kuai.Dong cho biết, những ai trước đây đã xác thực với Humanity cần cẩn thận. Đằng sau Zhanteng Information là một công ty outsource ở Thượng Hải, chuyên làm toàn bộ dịch vụ outsource cho nhận dạng danh tính. Ngoài ra, người tiết lộ SCoin cho biết dự án này thu thập một lượng lớn thông tin vân tay người dùng, gây lo ngại về an ninh riêng tư.

Điều này là chí tử đối với một dự án mà cốt lõi giá trị là "chứng minh tính người", token H sau khi niêm yết hai ngày đã giảm hơn 61%, từ khoảng 0.05 USD xuống mức thấp 0.018 USD.

Kỳ lân trước đó của người sáng lập, đốt sạch 170 triệu USD

Lý lịch cá nhân của Terence Kwok cũng thêm một dòng ghi chú rủi ro cho dự án này. Năm 2012, Terence Kwok 20 tuổi bỏ học Đại học Chicago, vì một hóa đơn chuyển vùng 900 USD nhận được trong một chuyến du lịch, đã thành lập Tink Labs, cung cấp điện thoại thông minh miễn phí (thương hiệu Handy) cho phòng khách sạn, để khách sử dụng khi ra nước ngoài thay cho phí chuyển vùng cao. Khái niệm này từng thu hút thị trường vốn, Tink Labs lần lượt huy động được 170 triệu USD từ Foxconn, SoftBank, Innovation Works và người sáng lập Meitu, định giá chạm mức 1.5 tỷ USD, trở thành kỳ lân đầu tiên của Hồng Kông. Ở thời kỳ đỉnh cao, thiết bị Handy phủ sóng 82 quốc gia, 600,000 phòng khách sạn toàn cầu.

Nhưng chiến lược mở rộng mạnh mẽ của Kwok nhanh chóng gặp phải sức cản của thực tế, phí chuyển vùng toàn cầu tiếp tục giảm, khách sạn không muốn trả tiền cho thiết bị Handy, công ty bắt đầu thua lỗ từ năm 2017. Theo Financial Times đưa tin, sau khi phát hiện Tink Labs có thể chuyển vốn của liên doanh Nhật Bản sang các thị trường thua lỗ khác, SoftBank đã cắt hỗ trợ vốn cho dự án then chốt. Tháng 7 năm 2019, hơn 100 nhân viên văn phòng châu Âu, Trung Đông và châu Phi không nhận được lương. Nhân viên bị sa thải rời văn phòng Oxford đã bôi đầy bánh kem lên tường và sàn nhà. Ngày 1 tháng 8, Tink Labs chính thức đóng cửa, tháng 1 năm 2020 bước vào thủ tục phá sản. Một cựu trưởng phòng nhân sự nói với FT rằng Kwok chỉ quan tâm đến "kiếm tiền", 170 triệu USD đầu tư đã bốc hơi toàn bộ.

Sáu năm sau, Kwok trở lại thị trường với Humanity Protocol, một lần nữa nhận được định giá kỳ lân từ Pantera Capital và Jump Crypto.

Quản lý khóa riêng tư: Vấn đề cũ, cái giá mới

Từ thông tin hiện tại, cuộc tấn công này không liên quan đến lỗ hổng hợp đồng thông minh hay thiếu sót an ninh ở cấp độ giao thức. Kẻ tấn công nắm giữ khóa riêng tư của một thành viên quỹ, thuộc về loại thất bại quản lý an ninh truyền thống nhất.

Tình hình an ninh ngành mã hóa năm 2026 vốn đã nghiêm trọng, theo thống kê của CCN, bốn tháng đầu năm 2026, tổn thất do các cuộc tấn công hacker DeFi vượt quá 1 tỷ USD, và phần lớn số tiền bị đánh cắp vẫn chưa được thu hồi. Ngày 1 tháng 4, Drift Protocol bị tấn công 286 triệu USD, là sự kiện một lần lớn nhất trong năm. Kẻ tấn công ngày càng nhắm mục tiêu vào trình xác thực, nút RPC và hệ thống quản trị, chứ không chỉ là lỗ hổng hợp đồng thông minh. Nhưng rò rỉ khóa riêng tư luôn là một trong những loại tấn công gây tổn thất nặng nề nhất, vì nó vượt qua tất cả cơ chế an ninh on-chain, trực tiếp giành quyền kiểm soát tài sản.

Đối với một dự án từng mang tranh cấp về 88% người dùng là robot, token giảm hơn 90% so với đỉnh, một sự cố rò rỉ khóa riêng tư 31 triệu USD có thể là đòn cuối cùng đánh sập niềm tin. Tính đến thời điểm viết bài, Kwok trong tuyên bố cho biết đội ngũ đang hợp tác với các chuyên gia an ninh và đối tác sàn giao dịch để xử lý, nhưng không đề cập đến bất kỳ phương án bồi thường nào cho người dùng, cũng không giải thích tại sao khóa riêng tư của thành viên quỹ không được áp dụng các biện pháp bảo vệ cơ bản như đa ký hay cách ly phần cứng.