Quantstamp verknüpft den 36-Millionen-Dollar-Hack des Humanity Protocol mit mutmaßlichen NK-Akteuren

Das Blockchain-Sicherheitsunternehmen Quantstamp erklärt, dass eine Phishing-E-Mail und ein kompromittierter Laptop entscheidende Schritte beim jüngsten Humanity-Protocol-Vorfall waren, der zum Diebstahl von Humanity (H) Token im Wert von 36 Millionen Dollar führte. Die Untersuchung des Unternehmens deutet auf mit Nordkorea verbundene Bedrohungsaktivitäten hin und verweist dabei auf technische Indikatoren wie ein südkoreanisches digitales Zertifikat sowie Malware-Verhalten, das mit DPRK-Eindringmustern übereinstimmt.

Quantstamp berichtet, dass die Angreifer einen schädlichen Anhang verwendeten, der als Token-Sperrplan-Update getarnt war und angeblich mit Bithumb, einer der größten Kryptowährungsbörsen Südkoreas, in Verbindung stand. Nachdem die Datei an ein Mitglied des Personals übermittelt wurde, installierte sich die Malware und verschaffte den Angreifern vollen Fernzugriff – wodurch sie auf sensibles Wallet-Material zugreifen konnten, das in den Operationen des Protokolls verwendet wurde.

Wichtigste Erkenntnisse

• Quantstamp führt die Kompromittierung des Humanity Protocol auf einen Phishing-Anhang zurück, der vollen Fernzugriff auf den kompromittierten Laptop eines Mitarbeiters ermöglichte.
• Die Malware soll mit einem Hancom-Digitalzertifikat signiert worden sein, das mit DPRK-ähnlichen Eindringmustern in Verbindung gebracht wird.
• Die Angreifer konnten Wallet-Anmeldedaten, einschließlich MetaMask-Wallet-Daten und privater Schlüssel, von einem Direktor des Humanity Protocol extrahieren.
• Sicherheitsunternehmen verknüpfen nordkoreanisch verbundene Akteure weiterhin mit einem erheblichen Anteil an Krypto-Diebstahlverlusten in den vergangenen Jahren und 2025.
• Quantstamps Erkenntnisse fügen sich in ein wachsendes Muster ein, bei dem gezieltes Social Engineering eingesetzt wird, um Einzelpersonen innerhalb von Krypto-Projekten zu erreichen.

Phishing-Anhang wird zum Einstiegspunkt

In seiner Vorfallreaktion erklärte Quantstamp, dass die Humanity-Protocol-Angreifer durch den kompromittierten Laptop eines Mitarbeiters Einfluss gewannen. Die Methode war laut dem Unternehmen eine Phishing-E-Mail mit einem schädlichen Anhang, der ein Token-bezogenes Update vortäuschte.

Der Anhang war als ein scheinbares Token-Sperrplan-Update von Bithumb getarnt. Nach dem Öffnen installierte die Nutzlast eine Malware, die den Angreifern laut Quantstamp vollen Fernzugriff auf das Gerät gewährte.

Dies ist bedeutsam, weil es den Vorfall von einer rein On-Chain-Exploit-Darstellung zu einer stärker auf menschliche Infrastrukturrisiken ausgerichteten Darstellung verschiebt: Der unmittelbare Angriffsmechanismus basierte auf der Kompromittierung des Endnutzers und nicht auf einer direkten Schwachstelle im Smart Contract-Code.

Diebstahl von Wallet-Anmeldedaten und die Rolle des Fernzugriffs

Quantstamp ergänzte, dass die Fähigkeiten der Malware über die allgemeine Kontrolle des Laptops hinausgingen. Das Unternehmen erklärte, dass die Angreifer den Zugriff nutzten, um die MetaMask-Wallet-Anmeldedaten und privaten Schlüssel des Humanity-Protocol-Direktors Chong Yee Wai zu kopieren.

Dieser Ablauf – der Diebstahl von Wallet-Material nach einer Fernkompromittierung – kann eine schnelle Bewegung von Geldern ermöglichen. Es verdeutlicht auch, warum Krypto-Vorfälle häufig von Endpoint-Sicherheitskontrollen abhängen, wie etwa Phishing-resistenter Authentifizierung und soliden Schlüsselverwaltungsverfahren, anstatt nur von Abwehrmaßnahmen auf Vertragsebene.

Technische Signale, die Quantstamp mit DPRK-Eindringversuchen verknüpft

Über das Phishing und den Fernzugriff hinaus wies Quantstamp auf ein technisches Detail hin, das es als „charakteristisch für DPRK-Eindringversuche" bezeichnete. Das Unternehmen erklärte, dass die Malware mit einem südkoreanischen Hancom-Digitalzertifikat signiert war.

Die Zuschreibung von Quantstamp stimmt damit überein, wie viele Bedrohungsberichte in Cyber-Untersuchungen erstellt werden: Während eine genaue Zuschreibung selten öffentlich bestätigt wird, nutzen Analysten häufig Kombinationen aus Werkzeugen, Signierverhalten und operativen Mustern. In diesem Fall werden das Vorhandensein eines spezifischen Signierzertifikats und das beobachtete Malware-Verhalten als korrelierende Indikatoren präsentiert.

Wie dies in ein breiteres Muster nordkoreanisch verbundener Krypto-Diebstähle passt

Der vermutete nordkoreanische Bezug erscheint nicht isoliert. Quantstamps Bericht ist vor dem Hintergrund großer Krypto-Diebstähle eingebettet, die von mehreren Sicherheitsbewertungen nordkoreanisch verbundenen Gruppen zugeschrieben wurden.

Cointelegraph berichtete zuvor, dass nordkoreanisch verbundene Bedrohungsakteure mit mindestens 578 Millionen Dollar der 634 Millionen Dollar in Verbindung gebracht wurden, die bei Krypto-bezogenen Vorfällen im April gestohlen wurden, unter Bezugnahme auf eine frühere Analyse.

Separat erklärte ein Mai-Bericht des Blockchain-Sicherheitsunternehmens CertiK, dass dieselben Akteure mit etwa 2 Milliarden Dollar der 3,4 Milliarden Dollar in Verbindung gebracht werden, die 2025 durch Krypto-Exploits verloren gingen, während sie für 12 % der Gesamtvorfälle verantwortlich waren. CertiK charakterisierte die Operationen als „Präzision und Ausmaß" widerspiegelnd und betonte, dass der Fokus nicht nur auf dem Volumen, sondern auf der effektiven Ausführung liegt.

Mit Blick auf längere Zeithorizonte besagt ein im Artikel zitierter Bericht, dass nordkoreanisch verbundene Akteure im vergangenen Jahrzehnt schätzungsweise 6,75 Milliarden Dollar in Kryptowährung in 263 dokumentierten Vorfällen gestohlen haben. CertiK erklärte auch, dass Nordkorea den Krypto-Diebstahl als grundlegenden staatlichen Einnahmemechanismus „industrialisiert" hat und die Aktivität als bedeutende Komponente externer Einnahmen positioniert.

Dementi Nordkoreas und warum die Zuschreibung umstritten bleibt

Nordkorea reagiert typischerweise nicht direkt auf Cyberkriminalitätsvorwürfe. Der Artikel weist jedoch darauf hin, dass ein Sprecher des Außenministeriums am 03.05. in einer von der Koreanischen Zentralnachrichtenagentur verbreiteten Erklärung Behauptungen über eine Beteiligung an Krypto-Hacks zurückwies.

In dieser Reaktion argumentierte der Sprecher laut dem im Artikel referenzierten Bericht, dass die USA „falsche" Narrative über eine „nicht existierende 'Cyberbedrohung'" aus Nordkorea verbreiten.

Für Investoren und Betreiber besteht die wichtigste Erkenntnis nicht darin, Zuschreibungsbehauptungen als gerichtssichere Gewissheit zu behandeln, sondern zu erkennen, dass die Muster hinter diesen Vorfällen – insbesondere Endpoint-Kompromittierung und Anmeldedatendiebstahl – unabhängig von Zuschreibungsdebatten handlungsrelevant sind. Selbst wenn staatliche Beteiligung bestritten wird, bleiben die praktischen Abwehrmaßnahmen ähnlich: Zugang zu Personalsystemen absichern, Exposition gegenüber Anmeldedaten-sammelnder Malware reduzieren und sicherstellen, dass Wiederherstellungs- und Vorfallreaktionspläne davon ausgehen, dass Social Engineering erfolgreich sein kann.

In Zukunft sollten Leser vor allem auf Folgemeldungen von Humanity Protocol und Sicherheitsmonitoren achten, ob zusätzliche Wallets oder verwandte Infrastruktur ins Visier genommen wurden, sowie auf umfassendere Werkzeuganleitungen von Quantstamp und anderen Analysten zur Verhinderung Phishing-geführter Endpoint-Übernahmen.

Dieser Artikel wurde ursprünglich als Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors auf Crypto Breaking News veröffentlicht – Ihre vertrauenswürdige Quelle für Krypto-Nachrichten, Bitcoin-Nachrichten und Blockchain-Updates.