BTC

$96,000

5.73%

ETH

$3,521.91

3.97%

HTX

$0.{5}2273

5.23%

SOL

$198.17

3.05%

BNB

$710

3.05%

简体中文

繁體中文

English

Tiếng Việt

한국어

日本語

ภาษาไทย

Türkçe

Rò rỉ khóa riêng gây ra thảm họa: 31 triệu USD bị đánh cắp, token Humanity lao dốc 90%

Foresight News

Đọc bài viết này mất 14 phút

Dự án chứng minh bạn là con người đã không thể chứng minh được khóa riêng tư của mình là an toàn.

Tiêu đề gốc: "Humanity bị đánh cắp 31 triệu USD, một private key khiến giá token lao dốc 90%"
Tác giả gốc: ChandlerZ, Foresight News

Ngày 9 tháng 6, theo theo dõi của nhà phân tích on-chain Specter, các ví đã tương tác với dự án danh tính kỹ thuật số Humanity đang bị tấn công liên tục.

Hiện tại, hàng trăm địa chỉ nắm giữ token H đã bị đánh cắp, tổng thiệt hại vượt quá 31 triệu USD. Trong đó, khoảng 9 triệu USD đã được đổi sang ETH, và khoảng 9,9 triệu USD vẫn tồn tại dưới dạng token H.

Người sáng lập Humanity, Terence Kwok, sau đó xác nhận đã xảy ra sự cố bảo mật, liên quan đến việc rò rỉ private key của một thành viên trong quỹ.

Như một biện pháp phòng ngừa, ông khuyến nghị người dùng tạm thời không tương tác với cầu nối cross-chain của Humanity hoặc bất kỳ pool thanh khoản nào cho đến khi xác nhận an toàn hơn. Nhóm đang hợp tác với các chuyên gia bảo mật và đối tác sàn giao dịch để xử lý, và sẽ liên tục cập nhật tiến độ cho cộng đồng.

Giá token H đã giảm mạnh từ khoảng 0,7 USDT xuống mức thấp nhất 0,052 USDT, giảm hơn 90% trong 24 giờ. Tại thời điểm viết bài, H đang ở mức 0,1368301 USDT, vốn hóa thị trường giảm từ 2 tỷ USD xuống còn khoảng 35,7 triệu USD.

Tính đến 11:00 ngày 9 tháng 6, kẻ tấn công dường như đã mint mới 100 triệu token H của Humanity Protocol và đang bán tháo để đổi lấy BNB.

Một dự án chưa thực sự "chứng minh nhân tính"

Humanity Protocol được thành lập vào năm 2024, định vị là mạng lưới danh tính kỹ thuật số phi tập trung, điểm bán chính là sử dụng sinh trắc học lòng bàn tay và zero-knowledge proof để xác minh người dùng có phải là người thật hay không. Dự án được xây dựng trên Polygon CDK (zkEVM), tuyên bố có thể giải quyết các vấn đề như tấn công Sybil, tài khoản giả mạo và danh tính do AI tạo ra mà không tiết lộ thông tin cá nhân.

Câu chuyện này đã thu hút sự chú ý lớn từ các nhà đầu tư vào năm 2024. Humanity Protocol đã hoàn thành hai vòng gọi vốn, tổng cộng 50 triệu USD. Vòng seed 30 triệu USD, định giá 1 tỷ USD, với các nhà đầu tư bao gồm Kingsway Capital, Animoca Brands, Blockchain.com và Shima Capital.

Vào tháng 1 năm 2025, một vòng gọi vốn do Pantera Capital và Jump Crypto dẫn đầu đã huy động được 20 triệu USD, định giá tăng lên 1,1 tỷ USD.

Quỹ Humanity cũng quy tụ nhiều nhân vật nổi tiếng, do Chủ tịch Animoca Brands, Yat Siu, lãnh đạo, các đồng sáng lập bao gồm người sáng lập công ty tư vấn blockchain quốc tế Mario Nawfal, cùng chuyên gia đầu tư cấp cao của Morgan Stanley và Ortus Capital, Yeewai Chong.

Vào ngày 25 tháng 6 năm 2025, token H được ra mắt thông qua cơ chế Fairdrop, được quảng bá là lần đầu tiên trong lịch sử Web 3.0 chỉ phân phối token cho những người dùng đã được xác thực là con người thật. Tuy nhiên, chỉ hai ngày sau khi ra mắt, DL News đã đưa tin về một đoạn hội thoại bị rò rỉ giữa các nhà sáng lập. Trong cuộc trò chuyện, Kwok thừa nhận rằng trong số 9 triệu Human ID được tạo trên mạng, chỉ có khoảng 1 triệu hoàn thành xác minh sinh trắc học, nghĩa là có tới 88% người dùng có thể là bot.

Ngoài ra, theo tiết lộ từ người dùng trên nền tảng X như SCoin (@LianFang_), AB Kuai.Dong (@_FOR AB) và những người khác, Humanity Protocol (H) có thể là "dự án nội địa đội lốt nước ngoài". Trong thư viện tài nguyên mã APP vẫn còn hình ảnh của công ty kiểm soát cửa Thâm Quyến Zhangteng Information, khiến tính xác thực bị nghi ngờ. Cư dân mạng cho rằng sức nóng trên các nền tảng xã hội phần lớn do các tài khoản phụ của dự án tự tạo, mức độ tham gia thực tế của người dùng còn nhiều nghi vấn.

AB Kuai.Dong cho biết, những ai đã từng xác thực trên Humanity cần phải cẩn thận. Đằng sau Zhangteng Information là một công ty gia công ở Thượng Hải, chuyên cung cấp dịch vụ trọn gói về nhận dạng danh tính. Ngoài ra, người tiết lộ SCoin cho biết dự án này thu thập số lượng lớn thông tin vân tay của người dùng, gây lo ngại về an ninh quyền riêng tư.

Điều này là chí mạng đối với một dự án có giá trị cốt lõi là "chứng minh nhân tính". Token H đã giảm hơn 61% trong vòng hai ngày sau khi ra mắt, từ khoảng 0,05 USD xuống mức thấp 0,018 USD.

Kỳ lân trước đây của nhà sáng lập đã đốt hết 170 triệu USD

Lý lịch cá nhân của Terence Kwok cũng thêm phần rủi ro cho dự án này. Năm 2012, ở tuổi 20, Terence Kwok bỏ học tại Đại học Chicago. Sau khi nhận hóa đơn chuyển vùng 900 USD trong một chuyến du lịch, anh đã thành lập Tink Labs, cung cấp điện thoại thông minh miễn phí (thương hiệu Handy) trong các phòng khách sạn để khách du lịch sử dụng ở nước ngoài nhằm thay thế phí chuyển vùng cao.

Khái niệm này từng làm rung chuyển thị trường vốn. Tink Labs đã huy động được 170 triệu USD từ Foxconn, SoftBank, Innovation Works và nhà sáng lập Meitu, với định giá chạm mốc 1,5 tỷ USD, trở thành kỳ lân đầu tiên của Hồng Kông, Trung Quốc. Ở thời kỳ đỉnh cao, thiết bị Handy phủ sóng 82 quốc gia và 600.000 phòng khách sạn trên toàn cầu.

Tuy nhiên, chiến lược mở rộng mạo hiểm của Kwok nhanh chóng gặp phải rào cản thực tế. Phí chuyển vùng quốc tế liên tục giảm, khách sạn không muốn trả tiền cho thiết bị Handy, và công ty bắt đầu thua lỗ từ năm 2017. Theo báo cáo của Financial Times, SoftBank đã cắt nguồn tài trợ cho các dự án trọng điểm sau khi phát hiện Tink Labs có thể đã chuyển tiền từ công ty liên doanh tại Nhật Bản sang các thị trường thua lỗ khác.

Vào tháng 7 năm 2019, hơn 100 nhân viên tại các văn phòng ở châu Âu, Trung Đông và châu Phi không nhận được lương. Khi rời khỏi văn phòng Oxford, các nhân viên bị sa thải đã bôi kem lên tường và sàn nhà. Ngày 1 tháng 8, Tink Labs chính thức đóng cửa, và đến tháng 1 năm 2020, công ty bước vào quy trình phá sản. Một cựu giám đốc nhân sự nói với FT rằng Kwok chỉ quan tâm đến "kiếm tiền", và toàn bộ 170 triệu USD đầu tư đã bốc hơi.

Sáu năm sau, Kwok quay trở lại thị trường với Humanity Protocol, một lần nữa đạt được định giá kỳ lân từ Pantera Capital và Jump Crypto.

Quản lý khóa riêng: Vấn đề cũ, cái giá mới

Từ thông tin hiện tại, cuộc tấn công này không liên quan đến lỗ hổng hợp đồng thông minh hay khiếm khuyết bảo mật ở cấp độ giao thức. Kẻ tấn công đã lấy được khóa riêng của một thành viên trong quỹ, thuộc dạng thất bại quản lý bảo mật truyền thống nhất.

Tình hình bảo mật của ngành tiền mã hóa năm 2026 vốn đã nghiêm trọng. Theo thống kê của CCN, trong bốn tháng đầu năm 2026, thiệt hại do các cuộc tấn công hacker vào DeFi đã vượt quá 1 tỷ USD, và phần lớn số tiền bị đánh cắp vẫn chưa được thu hồi. Vụ tấn công vào Drift Protocol ngày 1 tháng 4 với thiệt hại 286 triệu USD là sự kiện đơn lẻ lớn nhất trong năm.

Kẻ tấn công ngày càng nhắm mục tiêu vào các validator, node RPC và hệ thống quản trị, thay vì chỉ khai thác lỗ hổng hợp đồng thông minh. Nhưng rò rỉ khóa riêng luôn là một trong những loại tấn công gây thiệt hại nặng nề nhất, vì nó vượt qua mọi cơ chế bảo mật trên chuỗi, trực tiếp giành quyền kiểm soát tài sản.

Đối với một dự án từng vướng tranh cãi với 88% người dùng là bot và token giảm hơn 90% so với đỉnh, một vụ rò rỉ khóa riêng trị giá 31 triệu USD có thể là đòn cuối cùng giết chết lòng tin.

Tính đến thời điểm viết bài, trong tuyên bố của mình, Kwok cho biết nhóm đang hợp tác với các chuyên gia bảo mật và đối tác sàn giao dịch để xử lý, nhưng không đề cập đến bất kỳ phương án bồi thường nào cho người dùng, cũng không giải thích lý do tại sao khóa riêng của các thành viên trong quỹ lại không áp dụng các biện pháp bảo vệ cơ bản như đa chữ ký hoặc cách ly phần cứng.