توکن بومی H پروتکل Humanity روز سهشنبه بیش از ۸۰ درصد سقوط کرد، پس از اینکه مهاجمان به کلیدهای خصوصی مرتبط با پروژه دسترسی غیرمجاز پیدا کرده، کنترلهای ادمین پل را به دست گرفتند و بیش از ۳۶ میلیون دلار را در شبکههای اتریوم و BNB Chain به سرقت بردند.
پروتکل Humanity در یک رشته توییت مفصل اعلام کرد که حمله روز دوشنبه در شبکههای اتریوم و BSC هماهنگ شده بود و به نفوذی ردیابی شد که "پس از به خطر افتادن لپتاپ یک کارمند" رخ داده بود.
INCIDENT UPDATE:
Last night, June 8, the H token was hit by a coordinated attack across Ethereum and BSC. While we’re still investigating this incident, we want to be transparent with our community about what happened.
As of right now, ~$36M+ has been stolen across both chains…
— Humanity (@Humanityprot) June 9, 2026
نفوذ به Humanity یکی از بدترین دورههای ثبتشده برای امنیت دیفای را ادامه میدهد، با بیش از ۸۸۵ میلیون دلار زیان ناشی از هکهای دیفای در شش ماه اول سال ۲۰۲۶، طبق دادههای DeFiLlama.
به گفته پروژه، مهاجمان سه کلید از شش کلید Gnosis Safe در اتریوم و سه کلید از پنج کلید در BSC را به خطر انداخته، کنترل ProxyAdmin را به دست گرفتند، حدود ۱۴۱.۲ میلیون توکن H را تخلیه کردند و ۲۰۰,۰۰۰,۰۰۵ توکن H دیگر را از طریق ارتقاء قراردادهای مخرب ضرب (mint) کردند.
توکن H این پروژه از بالاترین قیمت خود در روز دوشنبه به میزان ۰.۷۳۱۳۲ دلار به پایینترین سطح خود در صبح سهشنبه به میزان ۰.۰۷۹۶۰۶ دلار سقوط کرد، طبق دادههای کوینگکو، که کاهشی ۸۹ درصدی را نشان میدهد. H در حال حاضر نزدیک به ۰.۲۰ دلار معامله میشود، با ۷۳ درصد کاهش در روز، که بخش عمدهای از رالیای را که توکن را یک هفته قبل به سقف تاریخی ۰.۸۰ دلار نزدیک کرده بود، از بین برد.
ترنس کووک، بنیانگذار این پروژه، این نفوذ را تایید کرد و به کاربران توصیه کرد که از زیرساختهای پروژه دوری کنند.
We've detected a security incident involving the compromise of private keys belonging to a member of the Humanity Foundation. As a precaution, please do not interact with the bridge or any liquidity pools until we confirm it's safe.
We're already working with security experts…
— Terence Kwok 「 🖐️ ✦ 🌏 」 (@terencekwok) June 9, 2026
پروتکل Humanity یک بلاکچین لایه ۲ مبتنی بر دانش صفر (zero-knowledge) است که بر هویت غیرمتمرکز تمرکز دارد، توسط کووک تأسیس شده و بر اساس سیستم "اثبات انسانیت" (Proof of Humanity) ساخته شده است که کاربران را از طریق اسکن کف دست به جای اسکن عنبیه یا تشخیص چهره تأیید میکند.
این نفوذ جدیدترین شکست برای کووک است، که شرکت قبلی او، استارتاپ فناوری هتلداری Tink Labs، حدود ۱۶۰ میلیون دلار سرمایه جذب کرده بود و به یکی از اولین یونیکورنهای هنگ کنگ تبدیل شد، قبل از اینکه در سال ۲۰۱۹ در بحبوحه مشکلات مالی تعطیل شود.
تیم پروتکل Humanity اعلام کرد که واریز و برداشت به پلهای آسیبدیده را متوقف کرده و در حال همکاری با صرافیها و پلیس برای بازگرداندن وجوه است.
این پروژه با وعده ارائه گزارش پس از حادثه (post-mortem) گفت: «مردم این جامعه برای آنچه در اینجا دارند، سخت کار کردهاند و ما سنگینی این موضوع را احساس میکنیم.»
مئیر دولف، همبنیانگذار و مدیر ارشد فناوری در پلتفرم امنیت بلاکچین Cyvers، به Decrypt گفت که این حادثه "یک نقص امنیتی عملیاتی بود، نه یک باگ قرارداد هوشمند"، به طوری که مهاجم از طریق یک کلید خصوصی مرتبط با یکی از اعضای بنیاد Humanity به دسترسی ادمین دست یافته است.
دولف گفت پس از ارتقاء قرارداد، مهاجم از تابع ضرب (mint) سوءاستفاده کرد تا ۱۰۰ میلیون توکن H جدید به ارزش تقریبی ۱۲.۹ میلیون دلار ایجاد کند، سپس توکنهای سرقت شده و ضرب شده را با ETH و BNB مبادله کرد و پیش از تجمیع در چندین کیف پول، اقدام به انجام این کار کرد.
دولف اشاره کرد که تخلیه تقریباً ۳۰ میلیون دلار "نیاز به کنترل در سطح مالک/ادمین داشت که قادر باشد عرضه توکن را از طریق ارتقاء قرارداد پروکسی افزایش دهد و کیف پولهای کنترلشده توسط پروتکل را مستقیماً تخلیه کند."
او گفت: «نقص اصلی ساختاری است: یک کلید به هر دو یعنی وجوه و قدرت بازنویسی قوانین اعتماد شده بود.»
او هشدار کووک مبنی بر اجتناب از پل و استخرها را نشانهای دانست که دسترسی "ممکن است به طور کامل مهار نشده باشد."
دولف گفت که مهاجم هنوز مقادیر زیادی از توکن H را در اختیار دارد اما نمیتواند به طور کامل نقد کند، زیرا نقدینگی استخر برای جذب مبادلات بسیار کم است، که این امر هشدار عمومی را "بخشی از تلاشی برای جلوگیری از دست خوردن آن نقدینگی" میکند.
بر اساس دادههای Tokenomist، پروتکل Humanity قرار است در ۲۵ ژوئن، ۲۶۶.۵ میلیون توکن H، حدود ۹.۴ درصد از عرضه منتشر شده، به ارزش تقریبی ۳۳ میلیون دلار با قیمتهای قبل از سقوط، در شش تخصیص (allocation) آزاد کند.
کارشناس ردیابی بلاکچین، ZachXBT، ابتدا این رویداد را "احتمالاً ساختگی" دانست و پیشنهاد کرد که این یک راه خروج راحت برای بازارساز فعال فراهم کرده است.
او بعداً این اظهارنظر را پس گرفت و توییت کرد که: «پس از تحلیل بیشتر پولشویی، به نظر میرسد که بازارساز مشکوک (MM) / OTC و به خطر افتادن کلید خصوصی مستقل از یکدیگر هستند و به هم مرتبط نیستند.»
دولف هشدار داد که شواهد درون زنجیرهای تاکنون متناقض باقی مانده است، زیرا مهاجم در هر صورت حقوق ادمین قانونی را در اختیار دارد. او گفت: «اینکه وجوه در روزهای آینده کجا مستقر شوند و آیا کلید به خطر افتاده قبلاً غیرفعال بوده است، عامل تعیینکننده خواهد بود.»
