6 月 8 日深夜，Web3 身份识别领域的独角兽 Humanity Protocol 遭遇毁灭性打击。其原生代币 H 在 24 小时内从 0.73 美元自由落体至 0.06 美元附近，跌幅逼近 90%。此次事件导致 17 个关联钱包被相继盗空，超过 3100 万美元资产瞬间蒸发。黑客不仅卷走了现有资金，更在 BSC 链上直接增发了 1 亿枚 H 代币，迅速兑换为 BNB 后销声匿迹。这家融资超 5000 万美元、估值高达 11 亿美元且拥有数百万注册用户的项目，主打零知识证明与掌纹识别技术，旨在解决行业顽疾「女巫攻击」，却最终未能守住自身员工的一台笔记本电脑。

击穿这一高估值项目的并非精妙的智能合约漏洞，而是基金会成员个人电脑的安全失守。链上分析师 Specter 和派盾的监测数据显示，攻击发生于 6 月 8 日至 9 日，黑客成功入侵了 Humanity 基金会成员的个人终端，窃取了控制多份资产及增发权限的私钥。创始人 Terence Kwok 虽第一时间承认私钥泄露并警告用户停止与跨链桥及流动性池的交互，但市场恐慌情绪蔓延速度远超公告发布。派盾统计指出，被盗资金中约 2370 万美元被迅速兑换为以太坊，另有约 790 万美元仍滞留在 H 代币中，黑客在砸盘套现的同时，也承受着手中剩余筹码贬值的压力。

事件发生的时间点引发了市场对于「自导自演」的猜测。鉴于 6 月 25 日临近代币大额解锁日，且被盗体量巨大，链上侦探 ZachXBT 最初怀疑这是项目方或做市商借安全事故进行体面离场的操作。

然而，在追踪完黑客的洗钱路径后，ZachXBT 于 6 月 9 日修正了结论，确认异常的做市商活动与私钥泄露在链上相互独立，这确系一次因终端运维失守导致的真实黑客攻击。午方 AI 注意到，此类安全预兆其实早有端倪，早在 2024 年 12 月，慢雾创始人余弦便公开指出，Humanity 测试网在用户通过邮箱登录时，会将明文私钥直接存储在浏览器的 sessionStorage 中，这种将私钥明文存放的做法对于一个主打「身份安全」的项目而言，无疑是巨大的讽刺。

将视角拉远审视，Humanity 损失的 3100 万美元在「多签失灵」的历史账单中仅排末位，却深刻揭示了行业共性痛点。过去四年间，几乎每一次巨额资产被盗，官方架构图上都标榜着完善的多签机制。2022 年，Harmony Horizon 跨链桥被 Lazarus 集团盗走约 1 亿美元，其签名门限仅为 2-of-5，黑客只需攻破内部服务器获取两把钥匙即可得手。同年 Ronin 网络损失更惨重，约 6 亿美元资产不翼而飞，名义上采用 5-of-9 验证者机制，实际上 4 个节点由 Sky Mavis 掌控，第 5 个签名则来自一个本应回收却长期未关闭的 Axie DAO 临时授权。

2023 年 Multichain 事件中，约 15 亿美元资产陷入瘫痪，其号称的 21 节点 MPC 分布式保管，实则所有节点服务器均注册在 CEO 个人的云服务账户下，导致 CEO 被司法带走后整个协议失联。最昂贵的一课来自 2025 年的 Bybit，约 15 亿美元被盗，黑客并未触碰签名者私钥，而是渗透了 Safe{Wallet} 的前端基础设施，篡改界面代码。签名人盯着屏幕上看似正常的地址与金额按下确认键，实际签署的却是将多签钱包逻辑合约替换为黑客合约的恶意 calldata。事后调查发现，黑客仅修改了一个参数，将 operation 从 0 改为 1，普通转账便变成了 delegatecall，致使巨额资产易主。

这四个案例虽死法各异，病根却高度一致：多签的安全假设建立在 N 把钥匙存放于 N 个彼此独立环境的前提下，但现实中项目方常在同一台电脑管理多把钥匙，或使用同一套云服务器及 AWS 凭证部署存储。一旦共享设备被攻破，黑客获取的便是一整串钥匙，数学上的多签在运维层面退化为单签。午方 AI 梳理发现，Ronin 和 Harmony 还叠加了为追求效率而降低门限或遗留临时授权的妥协，Multichain 则暴露了物理集权对密码学去中心化的掩盖，而 Bybit 案证明即便钥匙分散，若签名人依赖 UI 显示而非逐字核对原始数据，多签机制依然会沦为橡皮图章。

Humanity 并非个例，它只是这条脆弱链条上最新的一环。代码可审计，算法可证明，但管钥匙的人及其联网的电脑却无法被完全审计。对于持有者而言，审视资产背后的风险至关重要：首先需考察签名人的物理分布，若多签控制者共用办公网络或 DevOps 管道，其安全级别与单签无异；其次需关注多签构建层级，EVM 合约多签虽灵活但面临前端劫持风险，比特币原生脚本多签虽死板但攻击面更小；最后需审视团队历史纪律，测试网阶段的低级错误往往预示着主网的安全隐患。午方 AI 分析认为，那些缺乏时间锁和自动失效机制的临时授权，终将如 Ronin 案例般成为等待被利用的后门。Humanity 用 3100 万美元的代价证明，在去中心化世界里，最中心化的风险永远是人，多签机制签不住一台失守的电脑。