Humanity Protocol(H) bị hack bridge, mất hơn 36 triệu USD H token do lộ khóa ví đa chữ ký

**‘휴먼리티 프로토콜’ bị hack ví, kẻ tấn công chiếm quyền *bridge*, đánh cắp hơn 36 triệu USD H token**

*Theo Cointelegraph đưa tin ngày 8 (giờ địa phương),* dự án **‘từ’ tiền mã hóa** Humanity Protocol(H) cho biết một chiếc laptop của nhân viên bị xâm nhập đã dẫn đến việc kẻ tấn công chiếm quyền quản trị *bridge* và hợp đồng nâng cấp, từ đó đánh cắp hơn 36 triệu USD H token. Việc rủi ro xuất phát từ một thiết bị cá nhân nhưng lan ra thành sự cố bảo mật cấp độ giao thức đang khiến thị trường gia tăng cảnh giác với các dự án **‘từ’ tiền mã hóa**.

Theo Humanity Protocol, vụ tấn công ngày 8 ảnh hưởng đến H token trên cả Ethereum(ETH) và BNB Chain. Tin tặc được cho là đã chiếm được 3 trong tổng số 6 khóa chủ sở hữu của ví đa chữ ký Gnosis Safe, đủ để giành quyền kiểm soát *bridge* trên cả hai mạng lưới.

Sau khi nắm quyền, kẻ tấn công đã thay thế hợp đồng *bridge* bằng phiên bản độc hại. Trên Ethereum, khoảng 141,2 triệu H token bị rút khỏi *bridge*. Trên BNB Chain, tin tặc chỉnh sửa hợp đồng để bổ sung cơ chế phát hành không giới hạn, sau đó tự đúc thêm 200 triệu H token vào ví của mình.

Nhà sáng lập Humanity Protocol, Terence Kwok, cho biết với Cointelegraph rằng một số khóa đã “vô tình được sao lưu trên thiết bị bị xâm phạm”. Ông nói thêm, phần lớn tài sản tài chính của dự án được lưu trữ tại “bên lưu ký được cấp phép”, nhưng một số khóa đa chữ ký dùng cho hợp đồng lại bị lộ trong quá trình thiết lập ban đầu tại một điểm tập trung rồi mới phân tán về sau.

Sự cố này cho thấy nếu quyền quản trị tập trung vào số lượng khóa hạn chế, chỉ một điểm yếu trên thiết bị đầu cuối cũng có thể leo thang thành khủng hoảng toàn bộ giao thức. Humanity Protocol đã tạm dừng nạp/rút tại *bridge* bị ảnh hưởng, đồng thời làm việc với các sàn giao dịch và cơ quan liên quan để giảm thiểu thiệt hại và đánh giá khả năng khôi phục. Sau thông báo, H token lao dốc hơn 85% giá trị.

Trên thị trường, xuất hiện tranh luận về việc đây chỉ là một vụ hack thuần túy hay có liên quan đến các biến động bất thường trước thời điểm mở khóa (unlock) H token đã lên lịch. Nhà điều tra on-chain ZachXBT ban đầu đặt câu hỏi liệu dòng tiền từ các nhà tạo lập thị trường (market maker) và giao dịch OTC có kết nối với vụ việc hay không, nhưng sau khi rà soát thêm dữ liệu, ông điều chỉnh nhận định và cho rằng đây là các hoạt động riêng rẽ.

Chuyên gia bảo mật Hakan Unal thuộc Cyvers nhận định “một vụ xâm nhập thực sự thường mang dấu ấn tốc độ và tính bộc phát, trong khi các sự kiện bị thao túng có xu hướng gắn chặt với thời điểm *unlock* hoặc có mô hình di chuyển dòng tiền rất ‘gọn gàng’”. Tuy vậy, ông thừa nhận bằng chứng hiện tại vẫn chưa đủ rõ ràng theo một chiều nào.

Đơn vị phân tích Allium Labs lại nghiêng về kịch bản tấn công có tính chuẩn bị. Giám đốc nghiên cứu Elton Sheddula cho biết nguồn tiền đã được điều chuyển qua sàn giao dịch và *mixer* từ vài tuần trước; quyền phát hành token được “làm nóng” ngay trước thời điểm hack; hoạt động xả token diễn ra gần như đồng thời trên cả hai chuỗi.

*Bình luận:* Vụ H token cho thấy bài toán cốt lõi của các dự án **‘từ’ tiền mã hóa** không chỉ nằm ở việc bảo vệ ví hay thiết bị cá nhân, mà ở cách thiết kế *bridge* và phân tán quyền quản trị. Một *bridge* với cấu trúc đa chữ ký kém phân tán, phụ thuộc vào vài điểm kiểm soát tập trung, có thể biến một lỗ hổng nhỏ thành rủi ro sống còn cho cả dự án. Trong bối cảnh giá H token sụt hơn 85%, câu chuyện Humanity Protocol là lời nhắc nhở mới nhất rằng bảo mật hạ tầng và mô hình phân quyền đang ngày càng trở thành yếu tố quyết định tồn vong của các dự án **‘từ’ tiền mã hóa**.