Humility确认被盗资金达3600万美元，正配合警方展开调查

先说一个不太好的消息。6月8日晚间，Humility遭遇了一场精心策划的协同攻击，H代币在以太坊和BSC两条链上同时被攻破，初步确认已有超过3600万美元的资产被卷走并抛售。这起事件的源头，竟然是一个员工的电脑被攻破——听起来有些荒诞，但攻击者正是借此拿到了控制Hyperlane Bridge ProxyAdmin的多重签名钱&包密钥。

具体怎么操作的？在以太坊链上，攻击者拿到了Gnosis Safe 6个持有者中的3个私钥，然后直接把ProxyAdmin的所有权转移到了自己控制的钱&包里。接下来，他们将桥接合约升级成一个恶意版本，通过单笔交易就转走了大约1.412亿枚H代币。而在BSC链上，手法如出一辙：攻击者控制了Safe钱&包5个持有者中的3个私钥，接管了ProxyAdmin，接着部署了一个可以无限增发的恶意合约，分两次向自己钱&包里增发了2亿枚H代币。两次操作几乎同时完成，显然是有备而来。

事件发生后，Humility第一时间暂停了受影响桥接服务的存取款操作，同时与交易所等多个合作方一起想办法减少损失。警方也已经介入调查，追回部分被盗资金是当前的重点之一。不过，从攻击手法来看，这次漏洞的核心在于私钥管理的薄弱环节——当多重签名机制中的多数私钥被攻破时，所谓的“安全”防线其实不堪一击。这对所有跨链桥项目来说，都是一记响亮的警钟。