Quantstamp Leagă Hack-ul de 36 de Milioane de Dolari al Humanity Protocol de Actori Suspectați din Coreea de Nord

Firma de securitate blockchain Quantstamp afirmă că un e-mail de phishing și un laptop compromis au fost pași cheie în incidentul recent al Humanity Protocol, care a dus la furtul de tokeni Humanity (H) în valoare de 36 de milioane de dolari. Investigația companiei indică activitate de amenințare legată de Coreea de Nord, citând indicatori tehnici precum un certificat digital sud-coreean și comportament malware consistent cu modelele de intruziune ale RPDC.

Quantstamp raportează că atacatorii au folosit un atașament malițios deghizat ca o actualizare a programului de blocare a tokenilor, presupus conectat la Bithumb, unul dintre principalele schimburi de criptomonede din Coreea de Sud. După ce fișierul a fost livrat unui angajat, malware-ul s-a instalat singur și le-a oferit atacatorilor acces complet de la distanță — permițându-le să ajungă la materialul sensibil al portofelului folosit în operațiunile protocolului.

Concluzii cheie

• Quantstamp atribuie compromiterea Humanity Protocol unui atașament de phishing care a permis acces complet de la distanță la laptopul unui angajat compromis.
• Se raportează că malware-ul a fost semnat cu un certificat digital Hancom asociat cu modele de intruziune similare RPDC.
• Atacatorii au reușit să extragă acreditările portofelului, inclusiv datele portofelului MetaMask și cheile private, de la un director al Humanity Protocol.
• Firmele de securitate continuă să lege actorii legați de Coreea de Nord de o cotă substanțială din pierderile prin furt de criptomonede în ultimii ani și în 2025.
• Descoperirile Quantstamp se adaugă unui tipar tot mai mare în care ingineria socială țintită este folosită pentru a ajunge la persoane din interiorul proiectelor crypto.

Atașamentul de phishing devine punctul de acces

În răspunsul la incident, Quantstamp a afirmat că atacatorii Humanity Protocol au obținut pârghie prin laptopul unui angajat compromis. Metoda, conform firmei, a fost un e-mail de phishing cu un atașament malițios care imita o actualizare legată de tokeni.

Atașamentul a fost deghizat ca o aparentă actualizare a programului de blocare a tokenilor de la Bithumb. Odată deschis, payload-ul a instalat malware despre care Quantstamp spune că a acordat atacatorilor acces complet de la distanță la dispozitiv.

Acest lucru contează deoarece mută incidentul de la o narațiune pur on-chain de exploatare la o narațiune mai umană de risc de infrastructură: mecanismul imediat de breșă s-a bazat pe compromiterea utilizatorului final, mai degrabă decât pe o vulnerabilitate directă în codul contractului inteligent.

Furtul de acreditări ale portofelului și rolul accesului de la distanță

Quantstamp a adăugat că capacitățile malware-ului s-au extins dincolo de controlul general al laptopului. Firma a afirmat că atacatorii au folosit accesul pentru a copia acreditările portofelului MetaMask și cheile private ale directorului Humanity Protocol, Chong Yee Wai.

Acel flux de lucru — furtul materialului din portofel în urma compromiterii de la distanță — poate permite mișcarea rapidă a fondurilor. De asemenea, evidențiază de ce incidentele crypto se bazează adesea pe controalele de securitate ale endpoint-ului, cum ar fi autentificarea rezistentă la phishing și proceduri puternice de gestionare a cheilor, mai degrabă decât doar pe apărările la nivel de contract.

Semnale tehnice pe care Quantstamp le leagă de intruziunile RPDC

Dincolo de phishing și accesul de la distanță, Quantstamp a indicat un detaliu tehnic pe care l-a descris ca fiind „caracteristic intruziunilor RPDC." Firma a afirmat că malware-ul a fost semnat cu un certificat digital sud-coreean Hancom.

Atribuirea Quantstamp este consistentă cu modul în care multe rapoarte de amenințări sunt construite în investigațiile cibernetice: deși atribuirea exactă este rareori confirmată public, analiștii folosesc adesea combinații de instrumente, comportament de semnare și modele operaționale. În acest caz, prezența unui certificat de semnare specific și comportamentul malware observat sunt prezentate ca indicatori corelați.

Cum se încadrează aceasta într-un tipar mai larg de furt crypto legat de Coreea de Nord

Legătura suspectată cu Coreea de Nord nu apare în izolare. Raportul Quantstamp este încadrat pe fundalul unor furturi majore de criptomonede pe care mai multe evaluări de securitate le-au atribuit grupurilor legate de Coreea de Nord.

Cointelegraph a raportat anterior că actorii de amenințare legați de Coreea de Nord au fost legați de cel puțin 578 de milioane de dolari din cei 634 de milioane de dolari furați în incidente legate de crypto în aprilie, referindu-se la o analiză anterioară.

Separat, un raport din mai al companiei de securitate blockchain CertiK a afirmat că aceiași actori au fost legați de aproximativ 2 miliarde de dolari din cei 3,4 miliarde de dolari pierduți în exploatări crypto în 2025, reprezentând 12% din totalul incidentelor. CertiK a caracterizat operațiunile ca reflectând „precizie și scară," subliniind că accentul nu este doar pe volum, ci și pe execuție eficientă.

Privind la orizonturi de timp mai lungi, un raport citat în articol afirmă că în ultimul deceniu actorii legați de Coreea de Nord au furat un estimat de 6,75 miliarde de dolari în criptomonede în 263 de incidente documentate. CertiK a afirmat, de asemenea, că Coreea de Nord a „industrializat" furtul de crypto ca mecanism principal de venit de stat, poziționând activitatea ca o componentă semnificativă a veniturilor externe.

Negarea din partea Coreei de Nord și de ce atribuirea rămâne controversată

Coreea de Nord de obicei nu răspunde direct la acuzațiile de criminalitate cibernetică. Cu toate acestea, articolul notează că pe 3 mai, un purtător de cuvânt al Ministerului de Externe a respins afirmațiile de implicare în hack-uri crypto într-o declarație transmisă de Agenția Centrală de Știri Coreeană.

În acel răspuns, purtătorul de cuvânt a argumentat că SUA răspândesc narațiuni „incorecte" despre o „'amenințare cibernetică' inexistentă" din Coreea de Nord, conform raportului referit în articol.

Pentru investitori și operatori, concluzia cheie nu este să trateze afirmațiile de atribuire ca certitudini de nivel judiciar, ci să recunoască că tiparele din spatele acestor incidente — în special compromiterea endpoint-ului și furtul de acreditări — sunt acționabile indiferent de dezbaterile de atribuire. Chiar și atunci când implicarea statului este contestată, apărările practice rămân similare: întărirea accesului la sistemele de personal, reducerea expunerii la malware de colectare a acreditărilor și asigurarea că planurile de recuperare și răspuns la incidente presupun că ingineria socială poate reuși.

Mergând înainte, principalele lucruri pe care cititorii ar trebui să le urmărească sunt actualizările ulterioare de la Humanity Protocol și monitoarele de securitate privind dacă au fost vizate portofele suplimentare sau infrastructura aferentă, alături de îndrumări mai largi privind instrumentele de la Quantstamp și alți analiști pentru prevenirea preluărilor de endpoint conduse de phishing.

Acest articol a fost publicat inițial ca Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors pe Crypto Breaking News – sursa ta de încredere pentru știri crypto, știri Bitcoin și actualizări blockchain.