Quantstamp пов'язує злам Humanity Protocol на $36 млн із підозрюваними північнокорейськими акторами

Компанія з безпеки блокчейнів Quantstamp стверджує, що фішинговий електронний лист і скомпрометований ноутбук стали ключовими ланками в нещодавньому інциденті з Humanity Protocol, що призвів до крадіжки токенів Humanity (H) на суму $36 мільйонів. Розслідування компанії вказує на загрозу, пов'язану з Північною Кореєю, посилаючись на технічні індикатори — зокрема, цифровий сертифікат південнокорейського походження та поведінку шкідливого програмного забезпечення, що відповідає патернам вторгнень КНДР.

Quantstamp повідомляє, що зловмисники використали шкідливе вкладення, замасковане під оновлення графіка блокування токенів, нібито пов'язане з Bithumb — однією з найбільших криптовалютних бірж Південної Кореї. Після того як файл було доставлено співробітнику, шкідливе програмне забезпечення встановилося й надало зловмисникам повний віддалений доступ — що дозволило їм отримати доступ до конфіденційних матеріалів гаманця, використовуваних в операціях протоколу.

Ключові висновки

• Quantstamp пов'язує компрометацію Humanity Protocol із фішинговим вкладенням, яке забезпечило повний віддалений доступ до скомпрометованого ноутбука співробітника.
• Повідомляється, що шкідливе програмне забезпечення було підписано цифровим сертифікатом Hancom, пов'язаним із патернами вторгнень, характерними для КНДР.
• Зловмисники змогли отримати облікові дані гаманця, включно з даними гаманця MetaMask та приватними ключами, від директора Humanity Protocol.
• Компанії з безпеки продовжують пов'язувати суб'єктів, пов'язаних з Північною Кореєю, зі значною часткою збитків від крадіжки криптовалют за останні роки та у 2025 році.
• Висновки Quantstamp доповнюють зростаючу тенденцію, за якої цілеспрямована соціальна інженерія використовується для досягнення осіб всередині криптовалютних проєктів.

Фішингове вкладення стає точкою доступу

У своєму звіті про реагування на інцидент Quantstamp зазначила, що зловмисники Humanity Protocol отримали перевагу через скомпрометований ноутбук співробітника. За словами компанії, методом був фішинговий електронний лист зі шкідливим вкладенням, що імітувало оновлення, пов'язане з токенами.

Вкладення було замасковане під оновлення графіка блокування токенів від Bithumb. Після відкриття завантажувалось шкідливе програмне забезпечення, яке, за словами Quantstamp, надало зловмисникам повний віддалений доступ до пристрою.

Це важливо, оскільки переміщує інцидент із суто ончейн-наративу експлойту до більш людсько-інфраструктурного ризик-наративу: безпосередній механізм злому спирався на компрометацію кінцевого користувача, а не на пряму вразливість у коді смартконтрактів.

Крадіжка облікових даних гаманця та роль віддаленого доступу

Quantstamp також зазначила, що можливості шкідливого програмного забезпечення виходили за межі загального контролю над ноутбуком. Компанія повідомила, що зловмисники використали доступ для копіювання облікових даних гаманця MetaMask та приватних ключів директора Humanity Protocol Чонг Йі Вая.

Такий алгоритм — крадіжка матеріалів гаманця після віддаленої компрометації — може уможливити швидке переміщення коштів. Це також підкреслює, чому криптовалютні інциденти часто залежать від засобів контролю безпеки кінцевих точок, таких як захищена від фішингу автентифікація та надійні процедури роботи з ключами, а не лише від захисту на рівні контрактів.

Технічні сигнали, які Quantstamp пов'язує з вторгненнями КНДР

Крім фішингу та віддаленого доступу, Quantstamp вказала на технічну деталь, яку описала як «характерну для вторгнень КНДР». Компанія повідомила, що шкідливе програмне забезпечення було підписано південнокорейським цифровим сертифікатом Hancom.

Атрибуція Quantstamp відповідає тому, як будується більшість звітів про загрози в кіберрозслідуваннях: хоча точна атрибуція рідко підтверджується публічно, аналітики часто використовують комбінації інструментарію, поведінки підпису та операційних патернів. У цьому випадку наявність конкретного сертифіката підпису та спостережувана поведінка шкідливого програмного забезпечення представлені як кореляційні індикатори.

Як це вписується в ширшу тенденцію крадіжки криптовалют, пов'язаної з Північною Кореєю

Підозрюваний зв'язок з Північною Кореєю з'являється не в ізоляції. Звіт Quantstamp формується на тлі великих крадіжок криптовалют, які численні оцінки безпеки приписали групам, пов'язаним із Північною Кореєю.

Cointelegraph раніше повідомляв, що суб'єкти загроз, пов'язані з Північною Кореєю, були причетні щонайменше до $578 мільйонів із $634 мільйонів, викрадених у криптовалютних інцидентах у квітні, посилаючись на попередній аналіз.

Окремо, у травневому звіті компанії з безпеки блокчейнів CertiK зазначалося, що ті самі суб'єкти були пов'язані приблизно з $2 мільярдами з $3,4 мільярда, втрачених від крипто-експлойтів у 2025 році, при цьому становлячи 12% від загальної кількості інцидентів. CertiK охарактеризував операції як такі, що відображають «точність і масштаб», наголошуючи, що акцент робиться не лише на обсягах, але й на ефективному виконанні.

Якщо розглядати більш тривалі часові горизонти, у звіті, на який посилається стаття, зазначається, що за минуле десятиліття суб'єкти, пов'язані з Північною Кореєю, викрали приблизно $6,75 мільярда в криптовалюті в ході 263 задокументованих інцидентів. CertiK також заявила, що Північна Корея «індустріалізувала» крадіжку криптовалют як основний державний механізм отримання доходів, позиціонуючи цю діяльність як значущий компонент зовнішніх надходжень.

Заперечення з боку Північної Кореї та чому атрибуція залишається суперечливою

Північна Корея зазвичай не реагує безпосередньо на звинувачення у кіберзлочинності. Однак у статті зазначається, що 3 травня речник Міністерства закордонних справ відкинув звинувачення у причетності до крипто-зломів у заяві, поширеній Корейським центральним інформаційним агентством.

У цій відповіді речник стверджував, що США поширюють «неправдиві» наративи про «неіснуючу "кіберзагрозу"» з боку Північної Кореї, відповідно до звіту, на який посилається матеріал.

Для інвесторів та операторів головний висновок полягає не в тому, щоб ставитися до заяв про атрибуцію як до доказів судового рівня достовірності, а в тому, щоб визнати: патерни, що стоять за цими інцидентами, — особливо компрометація кінцевих точок та крадіжка облікових даних, — є дієвими незалежно від суперечок щодо атрибуції. Навіть коли причетність держави є спірною, практичні засоби захисту залишаються схожими: посилення доступу до персональних систем, зниження схильності до шкідливого програмного забезпечення, що збирає облікові дані, а також забезпечення того, що плани відновлення та реагування на інциденти передбачають можливість успіху соціальної інженерії.

Надалі читачам варто стежити за подальшими оновленнями від Humanity Protocol та моніторів безпеки щодо того, чи були атаковані додаткові гаманці або пов'язана інфраструктура, а також за більш широкими рекомендаціями щодо інструментарію від Quantstamp та інших аналітиків для запобігання захопленню кінцевих точок під керівництвом фішингу.

Ця стаття була спочатку опублікована як Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors на Crypto Breaking News — вашому надійному джерелі новин про криптовалюти, Bitcoin та оновлення блокчейну.