Quantstamp-Untersuchung verknüpft Humanity-Protocol-Hack mit DPRK-Akteuren, 141M H bewegt

Der Diebstahl von 141 Millionen H-Token aus dem Humanity Protocol am 08.06. begann nicht mit einem Code-Exploit, sondern mit einem kompromittierten Einzelgerät – ein klassisches Merkmal nordkoreanischer Cyber-Kampagnen. Ein neuer Bericht von Quantstamp, der von WuBlockchain erhalten wurde, legt dar, wie die Angreifer einen Phishing-Angriff nutzten, um Fernzugriff auf den Rechner eines Direktors zu erlangen und anschließend Wallet-Daten sowie private Schlüssel zu kopieren. Der Vorfall legt den menschlichen Endpunkt als schwächstes Glied auch in gut finanzierten Web3-Projekten bloß.

Einmal im System, führten die Angreifer parallele Operationen auf zwei separaten Chains aus. Auf Ethereum aktualisierten sie den H-Token-Kontrakt und verschoben etwa 141,18 Millionen H-Token aus der Kontrolle des Protokolls. Auf der BNB Smart Chain übernahmen sie die Kontrolle über einen ProxyAdmin-Kontrakt und nutzten ihn, um zusätzliche H-Token zu prägen. Das Dual-Chain-Manöver deutet auf Vorbereitungen hin, die dem Phishing-Einstiegspunkt vorausgingen, und verweist auf eine Gruppe mit umfangreichen Blockchain-Engineering-Ressourcen.

Ein klassischer DPRK-Einbruch

Quantstamp kennzeichnete die beim Angriff beobachteten Tooling- und Zertifikatssigniermuster als charakteristisch für Einbrüche, die mit der Demokratischen Volksrepublik Korea (DVRK) in Verbindung gebracht werden. Staatlich unterstützte Gruppen wie Lazarus haben jahrelang Techniken verfeinert, die Phishing, Social Engineering und unauffälliges On-Chain-Waschen kombinieren. Der Einsatz von weaponisierten Dokumenten oder Ködern, um ein hochrangiges Ziel zu kompromittieren, gefolgt von einer schnellen Kontrakt-Neukonfiguration, spiegelt Operationen wider, die Pjöngjang gegen andere DeFi-Projekte zugeschrieben werden.

Was diesen Vorfall hervorhebt, ist die Leichtigkeit, mit der der Angreifer gleichzeitig zwischen Ethereum und der BNB Smart Chain wechselte. Viele börsenbasierte Überwachungstools behandeln die Chain-Aktivität noch immer isoliert und schaffen so einen blinden Fleck, den staatliche Akteure ausnutzen. Die Fähigkeit, frische Token in einem separaten Netzwerk zu prägen, nachdem der Hauptkontrakt geleert wurde, erhöht die Gesamtbeute und erschwert gleichzeitig die Wiederherstellungsbemühungen der Strafverfolgungsbehörden.

Wohin die gestohlenen Token gelangen könnten

Großangelegte DPRK-Krypto-Diebstähle leiten Gelder historisch gesehen über dezentralisierte Börsen, Cross-Chain Brücken und Mixer, bevor sie bei unregulierten Offshore-Börsen landen. Die 141 Millionen H-Token werden wahrscheinlich denselben Weg nehmen, obwohl der Quantstamp-Bericht keine Post-Diebstahl-Bewegungen im Detail beschreibt. Angesichts des Volumens wird jeder Versuch, die Token auszuzahlen, auf Liquiditätsbeschränkungen stoßen, aber langsames, geduldiges Wash-Trading ist eine bekannte DPRK-Taktik. Blockchain-Intelligence-Firmen und zentralisierte Börsen, die aktiv markierte Adressen auf die Schwarze Liste setzen, können die Auswirkungen teilweise abschwächen, aber die Fungibilität auf DEXs bleibt eine Herausforderung.

Der Zeitpunkt des Angriffs fällt mit einer ohnehin angespannten Woche für die Krypto-Sicherheit zusammen. Mehrere Protokolle waren von Bridge-Exploits betroffen, und Regulatoren berufen sich weiterhin auf Versagen beim Nutzerschutz als Rechtfertigung für eine strengere Aufsicht. Der Humanity-Protocol-Vorfall ereignet sich, während Bankenlobbyisten versuchen, ein wichtiges US-Kryptowährung Gesetz zu kippen – ein Schritt, der die Verbraucherschutzmaßnahmen für Monate in einem legislativen Schwebezustand lassen könnte.

Was das für das institutionelle Vertrauen bedeutet

Protokolle, die sich als identitäts- oder menschheitsorientiert vermarkten, erleiden einen besonders schweren Reputationsschaden, wenn ein einziger Phishing-Link einen neunstelligen Verlust auslöst. Der Verstoß scheint keinen Fehler in der Smart-Contract-Logik des H-Tokens zu beinhalten – die Angriffsfläche war die operative Sicherheit des Schlüsselpersonals. Diese Unterscheidung ist wichtig für Institutionen, die abwägen, ob sie solche Protokolle integrieren sollen. Ein Code-Audit-Bericht kann saubere Ergebnisse zeigen, und dennoch kann das gesamte Deployment durch eine schwache Gerätesicherheitsrichtlinie zunichte gemacht werden.

Offene Fragen bleiben bestehen. Humanity Protocol hat noch nicht offengelegt, ob einige der gestohlenen Token eingefroren wurden oder ob ein Wiederherstellungsplan unter Einbeziehung der Strafverfolgungsbehörden im Gange ist. Quantstamps Zuschreibung an die DVRK, obwohl detailliert in Bezug auf das Tooling, veröffentlicht keine spezifischen Wallet-Adressen in der öffentlichen Version der Ergebnisse. Ohne eine für die Community zugängliche On-Chain-Zuschreibung könnten Börsen und Aufsichtsbehörden zögern zu handeln. Die nächsten Tage werden zeigen, ob das Protokoll den Schaden begrenzen kann und ob Börsen sowohl auf Ethereum als auch auf der BNB Smart Chain eine einheitliche Reaktion koordinieren. Vorerst bleibt der Markt mit 141 Millionen H-Token in den Händen staatlich unterstützter Diebe zurück – eine Erinnerung daran, dass die teuersten Hacks oft noch mit einem einzigen Klick beginnen.