6 月 9 日,据链上分析师 Specter 监测,与数字身份项目 Humanity 交互过的钱包正遭到持续攻击。
目前已有数百个持有 H 代币的地址被盗,总损失已超 3100 万美元。其中约 900 万美元已被兑换为 ETH,另有约 990 万美元仍以 H 代币形式存在。
Humanity 创始人 Terence Kwok 随后确认发生安全事件,涉及一名基金会成员的私钥泄露。
作为预防措施,其建议用户暂时不要与 Humanity 跨链桥或任何流动性池进行交互,直至进一步确认安全。团队正在与安全专家及交易平台合作伙伴合作处理,并将持续向社区更新进展。
H 代币价格从约 0.7 USDT 附近暴跌至最低 0.052 USDT,24 小时跌幅超过 90%。截至发稿时 H 报 0.1368301 USDT,市值从 20 亿美元跌至 3570 万美元附近。
截止 6 月 9 日 11:00,攻击者疑似新铸造 1 亿枚 Humanity Protocol 代币 H,并正在将其抛售兑换为 BNB。
一个未真正「证明人性」的项目
Humanity Protocol 成立于 2024 年,定位是去中心化数字身份网络,核心卖点是用掌纹生物识别和零知识证明来验证用户是否为真人。项目架构在 Polygon CDK(zkEVM)上,号称能在不暴露个人信息的前提下解决女巫攻击、虚假账号和 AI 生成身份等问题。
这个叙事在 2024 年吸引了大量资本关注,Humanity Protocol 先后完成两轮融资,合计 5000 万美元。种子轮 3000 万美元,估值 10 亿美元,投资方包括 Kingsway Capital、Animoca Brands、Blockchain.com 和 Shima Capital 等机构。
2025 年 1 月的一轮由 Pantera Capital 和 Jump Crypto 领投 2000 万美元,估值升至 11 亿美元。
Humanity 基金会也汇聚了众多知名人士,由 Animoca Brands 董事长 Yat Siu 领导,联合创始人包括国际区块链咨询公司创始人 Mario Nawfal,以及摩根士丹利和 Ortus Capital 的高级投资专家 Yeewai Chong。
2025 年 6 月 25 日,H 代币通过 Fairdrop 机制上线,号称是 Web 3.0 历史上首次仅面向已验证真人的代币分发。但上线两天后,DL News 报道了一段泄露的创始人对话。Kwok 在对话中承认,网络上创建的 900 万个 Human ID 中,完成生物识别验证的仅约 100 万个,意味着高达 88% 的用户可能是机器人。
此外,据 X 平台 SCoin(@ LianFang _)、AB Kuai . Dong(@_FOR AB)等用户爆料称,Humanity Protocol(H)或为「国产项目套壳」,APP 代码素材库内仍留有深圳门禁厂商掌腾信息图片,真实性受到质疑。网友称其社交平台热度多由项目方小号自导自演,实际用户参与度存疑。
AB Kuai.Dong 表示,之前在 Humanity 做过认证的,需要小心。掌腾信息背后是一家上海外包公司,专门做身份识别全套外包。此外,爆料人 SCoin 称该项目大量采集用户掌纹信息,引发隐私安全担忧。
这对一个以「证明人性」为核心价值主张的项目来说是致命的,H 代币上线后两天内跌超 61%,从 0.05 美元左右跌至 0.018 美元的低点。
创始人的上一个独角兽,烧光了 1.7 亿美元
Terence Kwok 的个人履历也为这个项目增加了风险注脚,2012 年,20 岁的 Terence Kwok 从芝加哥大学辍学,因一次旅行中收到 900 美元的漫游账单,创办了 Tink Labs,为酒店房间提供免费智能手机(品牌名 Handy),供住客在境外使用以替代高额漫游费。
这个概念一度打动了资本市场,Tink Labs 先后从富士康、软银、创新工场和美图创始人处融资 1.7 亿美元,估值触及 15 亿美元,成为中国香港第一家独角兽。高峰期 Handy 设备覆盖全球 82 个国家、60 万间酒店客房。
但 Kwok 的激进扩张策略很快遇到了现实阻力,全球漫游费持续下降,酒店不愿为 Handy 设备付费,公司从 2017 年开始亏损。据《金融时报》报道,软银在发现 Tink Labs 可能将日本合资公司的资金挪用至其他亏损市场后,切断了关键项目的资金支持。
2019 年 7 月,超过 100 名欧洲、中东和非洲办公室的员工未收到工资。被裁员工离开牛津办公室时在墙壁和地板上抹满了蛋糕。8 月 1 日,Tink Labs 正式关闭,2020 年 1 月进入破产清算程序。一位前人力资源主管对 FT 表示,Kwok 只关心「赚钱」,1.7 亿美元投资全部蒸发。
六年后,Kwok 带着 Humanity Protocol 重返市场,从 Pantera Capital 和 Jump Crypto 手中再次拿到独角兽估值。
私钥管理:老问题,新代价
从当前的信息来看,这次攻击不涉及智能合约漏洞或协议层面的安全缺陷。攻击者拿到的是一把基金会成员的私钥,属于最传统的安全管理失败。
2026 年加密行业的安全形势本就严峻,据 CCN 统计,2026 年前四个月,DeFi 黑客攻击造成的损失超过 10 亿美元,且大部分被盗资金仍未追回。4 月 1 日 Drift Protocol 遭遇 2.86 亿美元攻击,是今年最大单笔事件。
攻击者越来越多地将目标对准验证器、RPC 节点和治理系统,而不仅仅是智能合约漏洞。但私钥泄露始终是损失最惨重的攻击类型之一,因为它绕过了所有链上安全机制,直接获取资产控制权。
对于一个曾背负 88% 机器人用户争议、代币较高点下跌超过 90% 的项目来说,一次 3100 万美元的私钥泄露事件可能是压垮信任的最后一击。
截止发稿前,Kwok 在声明中称团队正在与安全专家和交易平台合作伙伴合作处理,但没有提及任何用户赔偿方案,也没有解释基金会成员的私钥为何没有采用多签或硬件隔离等基本防护措施。
