Quantstamp łączy hack Humanity Protocol na 36 mln dolarów z podejrzanymi aktorami z NK

Firma Quantstamp zajmująca się bezpieczeństwem blockchain twierdzi, że phishingowy e-mail i skompromitowany laptop były kluczowymi elementami niedawnego incydentu z Humanity Protocol, który doprowadził do kradzieży tokenów Humanity (H) wartych 36 milionów dolarów. Dochodzenie firmy wskazuje na aktywność zagrożeń powiązanych z Koreą Północną, powołując się na wskaźniki techniczne, takie jak południowokoreański certyfikat cyfrowy i zachowanie złośliwego oprogramowania zgodne ze wzorcami intruzji KRLD.

Quantstamp informuje, że atakujący wykorzystali złośliwy załącznik podszywający się pod aktualizację harmonogramu blokady tokenów rzekomo powiązaną z Bithumb, jedną z głównych południowokoreańskich giełd kryptowalut. Po dostarczeniu pliku pracownikowi złośliwe oprogramowanie zainstalowało się i zapewniło atakującym pełny zdalny dostęp — umożliwiając im dotarcie do wrażliwych materiałów portfela używanych w operacjach protokołu.

Kluczowe wnioski

• Quantstamp przypisuje kompromitację Humanity Protocol załącznikowi phishingowemu, który umożliwił pełny zdalny dostęp do skompromitowanego laptopa pracownika.
• Według doniesień złośliwe oprogramowanie zostało podpisane certyfikatem cyfrowym Hancom powiązanym ze wzorcami intruzji podobnymi do KRLD.
• Atakującym udało się wydobyć dane uwierzytelniające portfela, w tym dane portfela MetaMask i klucze prywatne, od dyrektora Humanity Protocol.
• Firmy bezpieczeństwa nadal łączą podmioty powiązane z Koreą Północną ze znaczną częścią strat z kradzieży kryptowalut w ostatnich latach i w 2025 roku.
• Odkrycia Quantstamp wpisują się w rosnący wzorzec, w którym ukierunkowana inżynieria społeczna jest wykorzystywana do docierania do osób wewnątrz projektów kryptowalutowych.

Załącznik phishingowy staje się punktem dostępu

W swojej odpowiedzi na incydent Quantstamp stwierdził, że atakujący Humanity Protocol uzyskali przewagę za pośrednictwem skompromitowanego laptopa pracownika. Według firmy metodą był phishingowy e-mail ze złośliwym załącznikiem podszywającym się pod aktualizację związaną z tokenami.

Załącznik był zamaskowany jako pozorna aktualizacja harmonogramu blokady tokenów od Bithumb. Po otwarciu ładunek zainstalował złośliwe oprogramowanie, które według Quantstamp zapewniło atakującym pełny zdalny dostęp do urządzenia.

Ma to znaczenie, ponieważ przesuwa incydent z narracji o czysto on-chainowym exploicie na narrację o ryzyku ludzko-infrastrukturalnym: bezpośredni mechanizm naruszenia opierał się na kompromitacji użytkownika końcowego, a nie na bezpośredniej podatności w kodzie inteligentnego kontraktu.

Kradzież danych uwierzytelniających portfela i rola zdalnego dostępu

Quantstamp dodał, że możliwości złośliwego oprogramowania wykraczały poza ogólną kontrolę nad laptopem. Firma stwierdziła, że atakujący wykorzystali dostęp do skopiowania danych uwierzytelniających portfela MetaMask i kluczy prywatnych dyrektora Humanity Protocol, Chong Yee Wai.

Ten schemat działania — kradzież materiałów portfela po zdalnej kompromitacji — może umożliwić szybkie przemieszczanie środków. Podkreśla również, dlaczego incydenty kryptowalutowe często zależą od kontroli bezpieczeństwa punktów końcowych, takich jak uwierzytelnianie odporne na phishing i solidne procedury obsługi kluczy, a nie tylko od zabezpieczeń na poziomie kontraktów.

Sygnały techniczne, które Quantstamp łączy z intruzjami KRLD

Poza phishingiem i zdalnym dostępem Quantstamp wskazał na szczegół techniczny opisany jako „charakterystyczny dla intruzji KRLD". Firma stwierdziła, że złośliwe oprogramowanie zostało podpisane południowokoreańskim certyfikatem cyfrowym Hancom.

Atrybucja Quantstamp jest zgodna z tym, jak wiele raportów o zagrożeniach jest konstruowanych w dochodzeniach cybernetycznych: podczas gdy dokładna atrybucja jest rzadko publicznie potwierdzana, analitycy często używają kombinacji narzędzi, zachowań podpisywania i wzorców operacyjnych. W tym przypadku obecność konkretnego certyfikatu podpisywania i zaobserwowane zachowanie złośliwego oprogramowania są prezentowane jako korelujące wskaźniki.

Jak to wpisuje się w szerszy wzorzec kradzieży kryptowalut powiązanych z Koreą Północną

Podejrzane powiązanie z Koreą Północną nie pojawia się w izolacji. Raport Quantstamp jest osadzony na tle poważnych kradzieży kryptowalut, które wiele ocen bezpieczeństwa przypisało grupom powiązanym z Koreą Północną.

Cointelegraph wcześniej informował, że podmioty zagrożeń powiązane z Koreą Północną były powiązane z co najmniej 578 milionami dolarów z 634 milionów dolarów skradzionych w incydentach związanych z kryptowalutami w kwietniu, powołując się na wcześniejszą analizę.

Osobno majowy raport firmy bezpieczeństwa blockchain CertiK stwierdził, że te same podmioty zostały powiązane z około 2 miliardami dolarów z 3,4 miliarda dolarów utraconych w wyniku exploitów kryptowalutowych w 2025 roku, stanowiąc 12% wszystkich incydentów. CertiK scharakteryzował operacje jako odzwierciedlające „precyzję i skalę", podkreślając, że uwaga skupia się nie tylko na wolumenie, ale na skutecznym wykonaniu.

Patrząc na dłuższe horyzonty czasowe, raport cytowany w artykule stwierdza, że przez ostatnią dekadę podmioty powiązane z Koreą Północną ukradły szacunkowo 6,75 miliarda dolarów w kryptowalutach w 263 udokumentowanych incydentach. CertiK stwierdził również, że Korea Północna „uprzemysłowiła" kradzież kryptowalut jako podstawowy mechanizm dochodów państwowych, pozycjonując tę działalność jako znaczący składnik zewnętrznych przychodów.

Zaprzeczenie ze strony Korei Północnej i dlaczego atrybucja pozostaje kontrowersyjna

Korea Północna zazwyczaj nie odpowiada bezpośrednio na zarzuty dotyczące cyberprzestępczości. Jednak artykuł odnotowuje, że 3 maja rzecznik Ministerstwa Spraw Zagranicznych odrzucił twierdzenia o zaangażowaniu w włamania do kryptowalut w oświadczeniu opublikowanym przez Koreańską Centralną Agencję Prasową.

W tej odpowiedzi rzecznik argumentował, że USA rozpowszechniają „nieprawidłowe" narracje o „nieistniejącym 'cyberzagrożeniu'" ze strony Korei Północnej, zgodnie z raportem, do którego odwołuje się artykuł.

Dla inwestorów i operatorów kluczowym wnioskiem nie jest traktowanie twierdzeń o atrybucji z pewnością sądową, ale rozpoznanie, że wzorce stojące za tymi incydentami — szczególnie kompromitacja punktów końcowych i kradzież danych uwierzytelniających — są możliwe do podjęcia działań niezależnie od debat na temat atrybucji. Nawet gdy zaangażowanie państwa jest kwestionowane, praktyczne środki obrony pozostają podobne: wzmocnij dostęp do systemów personalnych, ogranicz narażenie na złośliwe oprogramowanie zbierające dane uwierzytelniające i upewnij się, że plany odzyskiwania i reagowania na incydenty zakładają, że inżynieria społeczna może się powieść.

W przyszłości główne rzeczy, które czytelnicy powinni śledzić, to aktualizacje od Humanity Protocol i monitorów bezpieczeństwa dotyczące tego, czy dodatkowe portfele lub powiązana infrastruktura były celem, wraz z szerszymi wskazówkami dotyczącymi narzędzi od Quantstamp i innych analityków w zakresie zapobiegania przejęciom punktów końcowych prowadzonym przez phishing.

Ten artykuł został pierwotnie opublikowany jako Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors na Crypto Breaking News — Twoim zaufanym źródle wiadomości o kryptowalutach, Bitcoinie i aktualizacjach blockchain.