Ngày 9 tháng 6, theo nhà phân tích on-chain Specter giám sát, các ví từng tương tác với dự án nhận dạng kỹ thuật số Humanity đang bị tấn công liên tục.
Hiện đã có hàng trăm địa chỉ nắm giữ token H bị đánh cắp, tổng thiệt hại vượt quá 31 triệu USD. Trong đó, khoảng 9 triệu USD đã được đổi sang ETH, và khoảng 9.9 triệu USD vẫn tồn tại dưới dạng token H.
Sau đó, người sáng lập Humanity Terence Kwok xác nhận đã xảy ra sự cố bảo mật, liên quan đến việc rò rỉ private key của một thành viên trong quỹ.
Là một biện pháp phòng ngừa, ông khuyến nghị người dùng tạm thời không tương tác với cầu nối cross-chain của Humanity hoặc bất kỳ nhóm thanh khoản nào cho đến khi có xác nhận an toàn tiếp theo. Đội ngũ đang hợp tác với các chuyên gia bảo mật và đối tác sàn giao dịch để xử lý và sẽ tiếp tục cập nhật tiến trình cho cộng đồng.
Giá token H đã giảm mạnh từ mức khoảng 0.7 USDT xuống mức thấp nhất 0.052 USDT, giảm hơn 90% trong 24 giờ. Tính đến thời điểm đăng bài, H được báo giá ở mức 0.1368301 USDT, vốn hóa thị trường từ 2 tỷ USD giảm xuống khoảng 35.7 triệu USD.
Tính đến 11:00 ngày 9 tháng 6, kẻ tấn công được cho là đã đúc mới 100 triệu token H của Humanity Protocol và đang bán tháo để đổi lấy BNB.
Một dự án chưa thực sự "chứng minh nhân tính"
Humanity Protocol được thành lập năm 2024, định vị là mạng lưới nhận dạng kỹ thuật số phi tập trung, điểm bán hàng cốt lõi là sử dụng nhận dạng sinh trắc học vân tay lòng bàn tay và bằng chứng không tiết lộ thông tin (zero-knowledge proof) để xác minh người dùng có phải là người thật hay không. Dự án được xây dựng trên Polygon CDK (zkEVM), tuyên bố có thể giải quyết các vấn đề như tấn công Sybil, tài khoản giả mạo và danh tính do AI tạo ra mà không tiết lộ thông tin cá nhân.
Câu chuyện này đã thu hút sự chú ý lớn từ các nhà đầu tư vào năm 2024, Humanity Protocol đã hoàn thành hai vòng gọi vốn với tổng số tiền 50 triệu USD. Vòng hạt giống 30 triệu USD, định giá 1 tỷ USD, với sự tham gia của các tổ chức như Kingsway Capital, Animoca Brands, Blockchain.com và Shima Capital.
Một vòng khác vào tháng 1 năm 2025 do Pantera Capital và Jump Crypto dẫn đầu với 20 triệu USD, nâng định giá lên 1.1 tỷ USD.
Quỹ Humanity cũng tập hợp nhiều nhân vật nổi tiếng, do Chủ tịch Animoca Brands Yat Siu lãnh đạo, các đồng sáng lập bao gồm Mario Nawfal - người sáng lập công ty tư vấn blockchain quốc tế, và Yeewai Chong - chuyên gia đầu tư cấp cao tại Morgan Stanley và Ortus Capital.
Ngày 25 tháng 6 năm 2025, token H được niêm yết thông qua cơ chế Fairdrop, được cho là lần phân phối token đầu tiên trong lịch sử Web 3.0 chỉ dành cho những người thật đã được xác minh. Nhưng hai ngày sau khi niêm yết, DL News đã đăng tải một đoạn hội thoại bị rò rỉ của người sáng lập. Trong đó, Kwok thừa nhận rằng trong số 9 triệu Human ID được tạo trên mạng lưới, chỉ có khoảng 1 triệu ID hoàn thành xác minh sinh trắc học, nghĩa là có tới 88% người dùng có thể là robot.
Ngoài ra, theo các tiết lộ từ người dùng trên nền tảng X như SCoin(@ LianFang _) và AB Kuai . Dong(@_FOR AB), Humanity Protocol (H) có thể là một "dự án Trung Quốc khoác áo nước ngoài", vì trong thư viện tài nguyên mã của ứng dụng vẫn còn lưu lại hình ảnh của nhà sản xuất thiết bị kiểm soát ra vào Thâm Quyến là Zhangteng Information, làm dấy lên nghi ngờ về tính xác thực. Người dùng mạng cho biết độ nổi tiếng trên các nền tảng mạng xã hội của dự án chủ yếu do các tài khoản nhỏ do chính đội ngũ dự án tạo ra để tự diễn, và mức độ tham gia thực tế của người dùng đáng nghi ngờ.
AB Kuai.Dong cho biết, những ai đã từng xác thực với Humanity trước đây cần cẩn thận. Đằng sau Zhangteng Information là một công ty outsource ở Thượng Hải, chuyên cung cấp dịch vụ trọn gói về nhận dạng. Ngoài ra, người tiết lộ SCoin cho biết dự án này đã thu thập một lượng lớn thông tin vân tay lòng bàn tay của người dùng, làm dấy lên lo ngại về an ninh riêng tư.
Điều này là chí mạng đối với một dự án lấy "chứng minh nhân tính" làm giá trị cốt lõi, token H đã giảm hơn 61% trong hai ngày sau khi niêm yết, từ mức khoảng 0.05 USD xuống mức thấp 0.018 USD.
Kỳ lân trước đó của người sáng lập, đốt sạch 170 triệu USD
Lý lịch cá nhân của Terence Kwok cũng là một dấu hiệu rủi ro thêm cho dự án này. Năm 2012, Terence Kwok 20 tuổi, bỏ học tại Đại học Chicago, vì trong một chuyến đi đã nhận hóa đơn chuyển vùng 900 USD, ông đã thành lập Tink Labs, cung cấp điện thoại thông minh miễn phí (thương hiệu Handy) cho các phòng khách sạn, để khách hàng sử dụng ở nước ngoài thay thế cho chi phí chuyển vùng cao.
Ý tưởng này từng khiến thị trường vốn mê mẩn, Tink Labs đã huy động tổng cộng 170 triệu USD từ Foxconn, SoftBank, Innovation Works và người sáng lập Meitu, định giá chạm mức 1.5 tỷ USD, trở thành kỳ lân đầu tiên của Hồng Kông, Trung Quốc. Ở thời điểm đỉnh cao, thiết bị Handy phủ sóng 82 quốc gia và 600,000 phòng khách sạn trên toàn cầu.
Nhưng chiến lược mở rộng mạnh mẽ của Kwok nhanh chóng vấp phải sức ép thực tế, chi phí chuyển vùng toàn cầu tiếp tục giảm, các khách sạn không muốn trả tiền cho thiết bị Handy, công ty bắt đầu thua lỗ từ năm 2017. Theo Financial Times, sau khi phát hiện Tink Labs có thể chuyển vốn từ công ty liên doanh Nhật Bản sang các thị trường thua lỗ khác, SoftBank đã cắt đứt hỗ trợ tài chính cho các dự án then chốt.
Tháng 7 năm 2019, hơn 100 nhân viên tại văn phòng châu Âu, Trung Đông và châu Phi không nhận được lương. Nhân viên bị sa thải đã bôi đầy bánh kem lên tường và sàn nhà khi rời khỏi văn phòng Oxford. Ngày 1 tháng 8, Tink Labs chính thức đóng cửa, và vào tháng 1 năm 2020 bước vào thủ tục phá sản. Một cựu trưởng phòng nhân sự nói với FT rằng Kwok chỉ quan tâm đến "kiếm tiền", và 170 triệu USD đầu tư đã bốc hơi toàn bộ.
Sáu năm sau, Kwok trở lại thị trường với Humanity Protocol, một lần nữa nhận được định giá kỳ lân từ Pantera Capital và Jump Crypto.
Quản lý private key: Vấn đề cũ, cái giá mới
Từ thông tin hiện tại, cuộc tấn công này không liên quan đến lỗ hổng hợp đồng thông minh hay khuyết điểm bảo mật ở cấp độ giao thức. Kẻ tấn công đã lấy được một private key của thành viên quỹ, thuộc về dạng thất bại trong quản lý an ninh truyền thống nhất.
Tình hình an ninh của ngành công nghiệp crypto năm 2026 vốn đã khắc nghiệt, theo thống kê của CCN, trong bốn tháng đầu năm 2026, thiệt hại do các cuộc tấn công hacker vào DeFi đã vượt quá 1 tỷ USD, và phần lớn số tiền bị đánh cắp vẫn chưa được thu hồi. Ngày 1 tháng 4, Drift Protocol bị tấn công 286 triệu USD, là sự kiện lớn nhất trong năm.
Kẻ tấn công ngày càng nhắm mục tiêu vào các trình xác thực (validator), nút RPC và hệ thống quản trị, thay vì chỉ là lỗ hổng hợp đồng thông minh. Nhưng rò rỉ private key luôn là một trong những loại tấn công gây thiệt hại nặng nề nhất, vì nó vượt qua tất cả các cơ chế bảo mật on-chain, trực tiếp giành quyền kiểm soát tài sản.
Đối với một dự án từng gánh tranh cãi về 88% người dùng là robot, và token đã giảm hơn 90% so với đỉnh cao, một sự cố rò rỉ private key trị giá 31 triệu USD có thể là đòn cuối cùng làm sụp đổ niềm tin.
Tính đến thời điểm đăng bài, Kwok tuyên bố trong tuyên bố rằng đội ngũ đang hợp tác với các chuyên gia an ninh và đối tác sàn giao dịch để xử lý, nhưng không đề cập đến bất kỳ phương án bồi thường nào cho người dùng, cũng không giải thích tại sao private key của thành viên quỹ lại không được áp dụng các biện pháp bảo vệ cơ bản như đa chữ ký (multisig) hoặc cách ly bằng phần cứng.
