نفوذ ۳۱ میلیون دلاری به پروتکل Humanity: افشای یک کلید خصوصی و سقوط ۹۰ درصدی ارزش توکن

در تاریخ ۹ ژوئن، داده‌های ارائه‌شده توسط تحلیلگر آنچین با نام مستعار اسپکتر (Specter) نشان داد که کیف پول‌های مرتبط با پروژه هویت دیجیتال Humanity Protocol هدف حملات سایبری مداوم قرار گرفته‌اند. به گزارش ، تا این لحظه صدها آدرسِ هولدر توکن H مورد نفوذ قرار گرفته و مجموع خسارات وارده از مرز ۳۱ میلیون دلار عبور کرده است. مهاجمان تاکنون حدود ۹ میلیون دلار از این دارایی‌ها را به شبکه اتریوم (ETH) منتقل کرده و معادل ۹.۹ میلیون دلار دیگر همچنان به شکل توکن H در اختیار آن‌ها قرار دارد. ترنس کووک (Terence Kwok)، بنیان‌گذار پروژه هیومنیتی، در پیامی رسمی وقوع این رویداد امنیتی را تایید و علت اصلی آن را «لو رفتن کلید خصوصی یکی از اعضای بنیاد» اعلام کرد. وی به عنوان یک اقدام پیشگیرانه، از کاربران درخواست کرد تا زمان تایید مجدد ایمنی شبکه‌ها، هرگونه تعامل با پل‌های میان‌زنجیره‌ای (Cross-chain Bridges) و استخرهای نقدینگی مرتبط با این پروژه را به طور موقت متوقف کنند. تیم توسعه‌دهنده در حال حاضر با همکاری کارشناسان امنیت سایبری و پلتفرم‌های صرافی در حال بررسی ابعاد حادثه است و متعهد شده تا جامعه کاربری را در جریان پیشرفت امور قرار دهد. آنچه در این مطلب می‌خوانید Toggle فروپاشی ارزش توکن H سوابق بنیان‌گذار و سوخت‌شدن ۱۷۰ میلیون دلار در استارتاپ پیشین فروپاشی ارزش توکن H واکنش بازار به این نشت امنیتی بسیار شدید بود. قیمت توکن H با سقوطی آزاد از محدوده ۰.۷ تتر (USDT) به پایین‌ترین سطح خود در ۰.۰۵۲ تتر رسید که نشان‌دهنده ریزشی بیش از ۹۰ درصدی در بازه زمانی ۲۴ ساعته است. در زمان نگارش این گزارش، قیمت در محدوده ۰.۱۳۶۸ تتر در نوسان است و ارزش کل بازار (Market Cap) این پروژه از ۲ میلیارد دلار به حدود ۳۵.۷ میلیون دلار کاهش یافته است. همچنین، بررسی‌های آنچین نشان می‌دهد که شخص مهاجم اقدام به ضرب (Mint) بالغ بر ۱۰۰ میلیون واحد توکن جدید H کرده و در حال نقد کردن و تبدیل آن‌ها به بایننس کوین (BNB) است. زک‌اکس‌بی‌تی (ZachXBT)، کارآگاه و تحلیلگر سرشناس بلاک‌چین، با انتشار توییتی نسبت به ماهیت حمله امروز به پروتکل هیومنیتی ابراز تردید کرد. وی معتقد است که این حادثه ممکن است توسط خود تیم توسعه‌دهنده یا اشخاص وابسته به آن‌ها سازماندهی شده باشد. او با اشاره به تمرکز بسیار بالای عرضه توکن‌های این پروژه و این واقعیت که پس از وقوع رویداد، تمامی توکن‌های H به جای انتقال به صرافی‌های متمرکز (CEX) منحصراً در صرافی‌های غیرمتمرکز (DEX) به فروش رسیده‌اند، فرضیه تامل‌برانگیزی را مطرح کرد. به گفته ZachXBT، این شواهد نشان می‌دهد که احتمالاً بازارسازها (Market Makers) از سناریوی «حمله هکری» به عنوان پوشش و بهانه‌ای برای تسهیلِ خروجِ گسترده سرمایه و تخلیه پوزیشن‌های معاملاتی کلان خود استفاده کرده‌اند. نگاهی به پروتکل هیومنیتی، پروژه‌ای که در اثبات «انسانیت» ناکام ماند پروتکل هیومنیتی که در سال ۲۰۲۴ پایه‌گذاری شد، خود را به عنوان یک شبکه پیشگام در زمینه هویت دیجیتال غیرمتمرکز معرفی کرد. ارزش پیشنهادی اصلی این شبکه، استفاده از فناوری‌های تشخیص بیومتریک (اسکن خطوط کف دست) در ترکیب با الگوریتم‌های اثبات دانش صفر (Zero-Knowledge Proofs) بود تا هویت انسانی کاربران را بدون نقض حریم خصوصی تایید کند. این معماری که بر بستر Polygon CDK (نسخه zkEVM) توسعه یافته بود، ادعا می‌کرد که راهکاری قطعی برای مقابله با حملات سیبیل (Sybil Attacks)، حساب‌های کاربری جعلی و هویت‌های مبتنی بر هوش مصنوعی ارائه می‌دهد. این روایت بلندپروازانه در سال ۲۰۲۴ با استقبال چشمگیر سرمایه‌گذاران نهادی مواجه شد. پروتکل هیومنیتی موفق شد طی دو راند جذب سرمایه، مجموعاً ۵۰ میلیون دلار تامین مالی کند: راند کِشت ایده (Seed Round): جذب ۳۰ میلیون دلار با ارزش‌گذاری ۱ میلیارد دلاری، با مشارکت نام‌های برجسته‌ای نظیر Animoca Brands ،Kingsway Capital ،Blockchain.com و Shima Capital. راند دوم (ژانویه ۲۰۲۵): جذب ۲۰ میلیون دلار با ارزش‌گذاری ۱.۱ میلیارد دلاری، به رهبری غول‌های سرمایه‌گذاری Pantera Capital و Jump Crypto. ترکیب تیم مدیریتی و حامیان این بنیاد از جمله یات سیو (Yat Siu)، رئیس هیئت مدیره Animoca Brands، ماریو نافال (Mario Nawfal)، بنیان‌گذار یک شرکت مشاوره بین‌المللی بلاک‌چین، و یی‌وای چونگ (Yeewai Chong)، تحلیلگر ارشد پیشین مورگان استنلی و Ortus Capital نیز قابل توجه بود. ربات‌ها و افشای کدهای چینی در ۲۵ ژوئن ۲۰۲۵، توکن H از طریق مکانیزم Fairdrop به بازار عرضه شد و تیم پروژه مدعی شد که این رویداد، نخستین توزیع توکن در تاریخ وب ۳ است که منحصراً به «انسان‌های احراز هویت‌شده» اختصاص یافته است. اما دو روز بعد، پایگاه خبری DL News مکالمه‌ای فاش‌شده از ترنس کووک را منتشر کرد که در آن اعتراف می‌کرد از میان ۹ میلیون شناسه کاربری (Human ID) ثبت‌شده در شبکه، تنها حدود ۱ میلیون نفر فرآیند تایید بیومتریک را تکمیل کرده‌اند. این افشاگری به معنای آن بود که احتمالاً ۸۸ درصد از شبکه را ربات‌ها تشکیل داده‌اند. ابعاد حواشی به همین‌جا ختم نشد. پژوهشگران مستقل در پلتفرم X (از جمله SCoin و AB Kuai.Dong) با بررسی کتابخانه کدهای این اپلیکیشن، مدارکی دال بر ارتباط آن با یک شرکت تولیدکننده سیستم‌های کنترل تردد در شنژن چین به نام Zhangteng Information کشف کردند. این کشف باعث شد تا هیومنیتی به عنوان یک «پروژه داخلی چینی با نقاب بین‌المللی» معرفی شود. بررسی‌های بیشتر نشان داد که این شرکت توسط یک پیمانکار برون‌سپاری خدمات تشخیص هویت در شانگهای پشتیبانی می‌شود. علاوه بر این، جمع‌آوری حجم عظیمی از داده‌های بیومتریک کاربران (خطوط کف دست) نگرانی‌های عمیقی را در خصوص نقض حریم خصوصی و امنیت داده‌ها ایجاد کرد. ترکیب این افشاگری‌ها با فعالیت مشکوک و سازمان‌یافته تیم پروژه در شبکه‌های اجتماعی، ضربه مهلکی به اعتبار پروژه‌ای وارد کرد که تمام ارزش خود را بر مفهوم «اثبات انسانیت» بنا کرده بود. در نتیجه این رسوایی‌ها، قیمت توکن H در کمتر از ۴۸ ساعت پس از عرضه اولیه، با ۶۱ درصد ریزش از ۰.۰۵ دلار به ۰.۰۱۸ دلار سقوط کرد. سوابق بنیان‌گذار و سوخت‌شدن ۱۷۰ میلیون دلار در استارتاپ پیشین بررسی سوابق حرفه‌ای ترنس کووک (Terence Kwok) ریسک‌های ذاتی پیرامون این پروژه را روشن‌تر می‌کند. در سال ۲۰۱۲، کووک ۲۰ ساله پس از انصراف از دانشگاه شیکاگو و مواجهه با یک قبض سنگین ۹۰۰ دلاری برای رومینگ بین‌المللی، استارتاپ Tink Labs (با نام تجاری Handy) را تاسیس کرد. ایده او قرار دادن گوشی‌های هوشمند رایگان در اتاق‌های هتل برای مسافران بین‌المللی بود. این استارتاپ توانست توجه و سرمایه قابل‌توجهی معادل ۱۷۰ میلیون دلار را از بزرگترین بازیگران تکنولوژی نظیر Foxconn ،SoftBank ،Sinovation Ventures و بنیان‌گذار Meitu جذب کند. ارزش Tink Labs به ۱.۵ میلیارد دلار رسید و عنوان «نخستین یونیکورن هنگ کنگ» را به خود اختصاص داد. در دوران اوج فعالیت، دستگاه‌های Handy در ۶۰۰ هزار اتاق هتل و در ۸۲ کشور جهان حضور داشتند. اما این توسعه تهاجمی دوام چندانی نداشت. با کاهش چشمگیر هزینه‌های رومینگ جهانی، هتل‌ها دیگر تمایلی به پرداخت هزینه برای اشتراک دستگاه‌های Handy نشان ندادند و روند زیان‌دهی شرکت از سال ۲۰۱۷ آغاز شد. به گزارش فایننشال تایمز، شرکت سافت‌بنک پس از اطلاع از انتقال منابع مالی شرکتِ سرمایه‌گذاریِ مشترکِ خود در ژاپن به سایر شعب زیان‌ده، پشتیبانی مالی خود را متوقف کرد. در جولای ۲۰۱۹، پرداخت حقوق بیش از ۱۰۰ کارمند در دفاتر اروپا، خاورمیانه و آفریقا متوقف شد؛ این بحران به اعتراضات شدید و حتی مالیدن کیک به در و دیوار دفتر آکسفورد توسط کارمندان اخراجی ختم شد. نهایتاً در ۱ آگوست ۲۰۱۹، Tink Labs به فعالیت خود پایان داد و در ژانویه ۲۰۲۰ وارد فرآیند تصفیه و ورشکستگی شد. یکی از مدیران ارشد پیشین منابع انسانی این شرکت در مصاحبه با فایننشال تایمز تصریح کرد که رویکرد کووک منحصراً بر «کسب درآمد صرف» متمرکز بود و تمامی آن ۱۷۰ میلیون دلار سرمایه به طور کامل از بین رفت. با وجود چنین کارنامه‌ای، بازگشت کووک پس از شش سال با پروژه هیومنیتی و دریافت مجدد ارزش‌گذاری‌های میلیارد دلاری از شرکت‌هایی نظیر Pantera و Jump، شگفتی بسیاری از تحلیلگران را به همراه داشته است. تحلیل امنیتی: مدیریت کلید خصوصی، نقطه‌ضعفی سنتی با تاوانی سنگین بر اساس ارزیابی‌های فنی منتشر شده تا این لحظه، نفوذ اخیر به پروتکل هیومنیتی ناشی از آسیب‌پذیری در قراردادهای هوشمند (Smart Contracts) یا نقص در معماری بلاک‌چینی نبوده است. هکرها موفق شده‌اند به طور مستقیم به کلید خصوصی یکی از اعضای بنیاد دسترسی پیدا کنند؛ این اتفاق یکی از ابتدایی‌ترین و سنتی‌ترین ضعف‌ها در مدیریت امنیت سایبری به شمار می‌رود. صنعت ارزهای دیجیتال در سال ۲۰۲۶ سال پرچالشی را از منظر امنیتی پشت سر گذاشته است. طبق داده‌های پایگاه CCN، تنها در چهار ماه نخست سال ۲۰۲۶، خسارات ناشی از حملات سایبری به پروژه‌های دیفای (DeFi) از جمله نفوذ ۲۸۶ میلیون دلاری به پروتکل Drift در ۱ آوریل که به عنوان بزرگترین حادثه امنیتی سال جاری ثبت شد، از مرز ۱ میلیارد دلار عبور کرده است. در حالی که هکرها امروزه تمرکز خود را از اکسپلویت‌های قرارداد هوشمند به سمت اهداف پیچیده‌تری نظیر ولیدیتورها (Validators)، گره‌های RPC و مکانیزم‌های حاکمیتی تغییر داده‌اند، «نشت کلید خصوصی» همچنان به عنوان یکی از مخرب‌ترین بردارهای حمله شناخته می‌شود؛ چرا که تمامی لایه‌های امنیتی آنچین را دور زده و کنترل بلامنازع دارایی‌ها را در اختیار مهاجم قرار می‌دهد. برای پروژه‌ای که پیش‌تر با بحران هویتی (حضور ۸۸ درصدی ربات‌ها) دست‌وپنجه نرم کرده بود، افشای ۳۱ میلیون دلاری ناشی از ضعف در حفاظت از یک کلید خصوصی، می‌تواند آخرین ضربه بر پیکره اعتماد جامعه کاربری آن باشد. با وجود اینکه کووک از همکاری با کارشناسان امنیتی خبر داده است، تا این لحظه هیچ طرح مشخصی برای جبران خسارت کاربران ارائه نشده و بنیاد هیومنیتی هنوز پاسخ روشنی نداده است که چرا کلید خصوصیِ دارای دسترسی به چنین حجم عظیمی از دارایی‌ها، تحت استانداردهای اولیه امنیتی نظیر کیف پول‌های چندامضایی (Multi-sig) یا فضاهای ایزوله سخت‌افزاری محافظت نمی‌شده است