كوانتستامب تربط اختراق بروتوكول هيومانيتي بقيمة 36 مليون دولار بجهات مشتبه في ارتباطها بكوريا الشمالية

تقول شركة Quantstamp للأمن في مجال البلوكتشين إن الاحتيال الإلكتروني عبر البريد وجهاز كمبيوتر محمول مخترق كانا خطوتين رئيسيتين في حادثة Humanity Protocol الأخيرة التي أسفرت عن سرقة توكنات Humanity (H) بقيمة 36 مليون دولار. يشير تحقيق الشركة إلى نشاط تهديد مرتبط بكوريا الشمالية، مستشهدةً بمؤشرات تقنية مثل شهادة رقمية كورية جنوبية وسلوك برامج خبيثة متسق مع أنماط اختراق DPRK.

تفيد Quantstamp بأن المهاجمين استخدموا مرفقاً خبيثاً متنكراً في هيئة تحديث لجدول إقفال التوكن يُفترض أنه مرتبط بـ Bithumb، إحدى أبرز بورصات العملات المشفرة في كوريا الجنوبية. وبعد تسليم الملف لأحد أعضاء الفريق، نصّبت البرامج الخبيثة نفسها ومنحت المهاجمين وصولاً كاملاً عن بُعد، مما أتاح لهم الوصول إلى مواد المحفظة الحساسة المستخدمة في عمليات البروتوكول.

أبرز النقاط

• تنسب Quantstamp اختراق Humanity Protocol إلى مرفق احتيال إلكتروني أتاح وصولاً كاملاً عن بُعد إلى جهاز الكمبيوتر المحمول لأحد الموظفين المخترقين.
• يُفيد بأن البرامج الخبيثة وُقِّعت بشهادة رقمية من Hancom مرتبطة بأنماط اختراق مشابهة لـ DPRK.
• تمكّن المهاجمون من استخراج بيانات اعتماد المحفظة، بما في ذلك بيانات محفظة MetaMask والمفاتيح الخاصة، من أحد مديري Humanity Protocol.
• تواصل شركات الأمن ربط الجهات الفاعلة المرتبطة بكوريا الشمالية بحصة كبيرة من خسائر سرقة الكريبتو خلال السنوات الأخيرة وعام 2025.
• تُضاف نتائج Quantstamp إلى نمط متنامٍ يُستخدم فيه الهندسة الاجتماعية المستهدفة للوصول إلى الأفراد داخل مشاريع الكريبتو.

مرفق الاحتيال الإلكتروني يصبح نقطة الدخول

في إطار استجابتها للحادثة، قالت Quantstamp إن مهاجمي Humanity Protocol استغلوا نقطة ضعف من خلال جهاز الكمبيوتر المحمول لأحد الموظفين المخترقين. وكانت الطريقة، وفقاً للشركة، بريد احتيال إلكتروني يحتوي على مرفق خبيث انتحل صفة تحديث مرتبط بالتوكن.

تنكّر المرفق في هيئة ما بدا أنه تحديث لجدول إقفال التوكن من Bithumb. وبمجرد فتحه، نصّبت الحمولة برامج خبيثة أتاحت للمهاجمين، وفقاً لـ Quantstamp، وصولاً كاملاً عن بُعد إلى الجهاز.

يكتسب هذا أهمية لأنه يحوّل الحادثة من سردية استغلال على السلسلة بحتة إلى سردية مخاطر البنية التحتية البشرية: إذ اعتمدت آلية الاختراق الفوري على اختراق المستخدم النهائي بدلاً من ثغرة مباشرة في كود العقد الذكي.

سرقة بيانات اعتماد المحفظة ودور الوصول عن بُعد

أضافت Quantstamp أن قدرات البرامج الخبيثة امتدت إلى ما هو أبعد من السيطرة العامة على الكمبيوتر المحمول. وقالت الشركة إن المهاجمين استخدموا الوصول لنسخ بيانات اعتماد محفظة MetaMask والمفاتيح الخاصة لمدير Humanity Protocol Chong Yee Wai.

يمكن لتلك الطريقة—سرقة مواد المحفظة عقب الاختراق عن بُعد—تمكين التحريك السريع للأموال. كما تُبرز سبب اعتماد حوادث الكريبتو في كثير من الأحيان على ضوابط أمن نقاط النهاية، كالمصادقة المقاومة للاحتيال الإلكتروني وإجراءات التعامل القوي مع المفاتيح، بدلاً من الاكتفاء بالدفاعات على مستوى العقود.

الإشارات التقنية التي تربطها Quantstamp باختراقات DPRK

إلى جانب الاحتيال الإلكتروني والوصول عن بُعد، أشارت Quantstamp إلى تفصيل تقني وصفته بأنه "سمة مميزة لاختراقات DPRK". وقالت الشركة إن البرامج الخبيثة وُقِّعت بشهادة رقمية كورية جنوبية من Hancom.

يتسق إسناد Quantstamp مع كيفية بناء تقارير التهديد في التحقيقات الإلكترونية: فبينما نادراً ما يُؤكَّد الإسناد الدقيق علناً، يستخدم المحللون في الغالب مجموعات من الأدوات وسلوك التوقيع والأنماط التشغيلية. وفي هذه الحالة، يُقدَّم وجود شهادة توقيع محددة والسلوك الملاحظ للبرامج الخبيثة كمؤشرات مترابطة.

كيف يندرج هذا ضمن نمط أوسع لسرقة الكريبتو المرتبطة بكوريا الشمالية

لا يبدو الارتباط المشتبه به بكوريا الشمالية معزولاً. يُؤطَّر تقرير Quantstamp على خلفية عمليات سرقة كريبتو كبرى نسبتها تقييمات أمنية متعددة إلى مجموعات مرتبطة بكوريا الشمالية.

أفاد Cointelegraph سابقاً بأن جهات التهديد المرتبطة بكوريا الشمالية مرتبطة بما لا يقل عن 578 مليون دولار من أصل 634 مليون دولار مسروقة في حوادث متعلقة بالكريبتو في أبريل، في إشارة إلى تحليل سابق.

وبصورة منفصلة، أفاد تقرير صدر في مايو عن شركة أمن البلوكتشين CertiK بأن الجهات ذاتها مرتبطة بنحو 2 مليار دولار من أصل 3.4 مليار دولار خُسرت في عمليات استغلال الكريبتو عام 2025، بينما تمثل 12% من إجمالي الحوادث. ووصفت CertiK العمليات بأنها تعكس "الدقة والحجم"، مؤكدةً أن التركيز لا يقتصر على الكميات بل على التنفيذ الفعّال.

وبالنظر إلى آفاق زمنية أطول، يذكر تقرير مُستشهد به في المقال أن الجهات المرتبطة بكوريا الشمالية سرقت على مدار العقد الماضي ما يُقدَّر بـ 6.75 مليار دولار من العملات المشفرة في 263 حادثة موثقة. كما أفادت CertiK بأن كوريا الشمالية "صنّعت" سرقة الكريبتو كآلية أساسية لإيرادات الدولة، مما يجعل هذا النشاط مكوناً ذا مغزى من الدخل الخارجي.

النفي من كوريا الشمالية، ولماذا يظل الإسناد مثاراً للجدل

لا تردّ كوريا الشمالية عادةً بشكل مباشر على اتهامات الجرائم الإلكترونية. غير أن المقال يلاحظ أنه في 3 مايو، رفض متحدث باسم وزارة الخارجية ادعاءات التورط في عمليات اختراق الكريبتو في بيان نقلته وكالة أنباء كوريا المركزية.

وفي ذلك الرد، جادل المتحدث بأن الولايات المتحدة تنشر روايات "خاطئة" حول "تهديد إلكتروني غير موجود" من كوريا الشمالية، وفقاً للتقرير المُشار إليه في المقال.

بالنسبة للمستثمرين والمشغّلين، فإن الخلاصة الرئيسية ليست التعامل مع ادعاءات الإسناد بوصفها يقيناً على مستوى المحكمة، بل الإدراك بأن الأنماط الكامنة وراء هذه الحوادث—ولا سيما اختراق نقاط النهاية وسرقة بيانات الاعتماد—قابلة للتنفيذ بصرف النظر عن نقاشات الإسناد. حتى حين يكون تورط الدولة محل خلاف، تبقى الدفاعات العملية متشابهة: تعزيز الوصول إلى أنظمة الموظفين، والحد من التعرض لبرامج خبيثة تستهدف حصاد بيانات الاعتماد، وضمان أن خطط الاسترداد والاستجابة للحوادث تفترض أن الهندسة الاجتماعية قد تنجح.

في المستقبل، أبرز ما ينبغي للقراء متابعته هو التحديثات اللاحقة من Humanity Protocol ومراقبي الأمن حول ما إذا كانت محافظ إضافية أو بنية تحتية ذات صلة قد استُهدفت، إلى جانب إرشادات أدوات أوسع من Quantstamp وغيرها من المحللين حول منع عمليات الاستيلاء على نقاط النهاية بقيادة الاحتيال الإلكتروني.

نُشر هذا المقال في الأصل تحت عنوان Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors على Crypto Breaking News – مصدرك الموثوق لأخبار الكريبتو وأخبار Bitcoin وتحديثات البلوكتشين.