Η Quantstamp Συνδέει την Παραβίαση $36M του Humanity Protocol με Ύποπτους Βορειοκορεάτες Δράστες

Η εταιρεία ασφάλειας blockchain Quantstamp αναφέρει ότι ένα email phishing και ένα παραβιασμένο laptop αποτέλεσαν βασικά βήματα στο πρόσφατο περιστατικό του Humanity Protocol, που είχε ως αποτέλεσμα την κλοπή tokens Humanity (H) αξίας 36 εκατομμυρίων δολαρίων. Η έρευνα της εταιρείας υποδεικνύει δραστηριότητα απειλής που συνδέεται με τη Βόρεια Κορέα, επικαλούμενη τεχνικές ενδείξεις όπως ένα νοτιοκορεατικό ψηφιακό πιστοποιητικό και συμπεριφορά κακόβουλου λογισμικού συνεπή με τα πρότυπα εισβολής της DPRK.

Η Quantstamp αναφέρει ότι οι επιτιθέμενοι χρησιμοποίησαν ένα κακόβουλο συνημμένο αρχείο μεταμφιεσμένο ως ενημέρωση χρονοδιαγράμματος κλειδώματος token που υποτίθεται συνδέεται με το Bithumb, ένα από τα μεγαλύτερα ανταλλακτήρια κρυπτονομισμάτων της Νότιας Κορέας. Αφού το αρχείο παραδόθηκε σε έναν υπάλληλο, το κακόβουλο λογισμικό εγκαταστάθηκε και παρείχε στους επιτιθέμενους πλήρη απομακρυσμένη πρόσβαση—επιτρέποντάς τους να προσεγγίσουν ευαίσθητο υλικό πορτοφολιού που χρησιμοποιείται στις λειτουργίες του πρωτοκόλλου.

Βασικά συμπεράσματα

• Η Quantstamp αποδίδει την παραβίαση του Humanity Protocol σε ένα συνημμένο phishing που επέτρεψε πλήρη απομακρυσμένη πρόσβαση στο παραβιασμένο laptop υπαλλήλου.
• Αναφέρεται ότι το κακόβουλο λογισμικό ήταν υπογεγραμμένο με ψηφιακό πιστοποιητικό Hancom που συνδέεται με πρότυπα εισβολής τύπου DPRK.
• Οι επιτιθέμενοι κατάφεραν να εξάγουν διαπιστευτήρια πορτοφολιού, συμπεριλαμβανομένων δεδομένων πορτοφολιού MetaMask και ιδιωτικών κλειδιών, από έναν διευθυντή του Humanity Protocol.
• Οι εταιρείες ασφάλειας συνεχίζουν να συνδέουν φορείς που σχετίζονται με τη Βόρεια Κορέα με σημαντικό μερίδιο των απωλειών κλοπής κρυπτονομισμάτων τα τελευταία χρόνια και το 2025.
• Τα ευρήματα της Quantstamp προστίθενται σε ένα αυξανόμενο πρότυπο όπου στοχευμένη κοινωνική μηχανική χρησιμοποιείται για να προσεγγίσει άτομα εντός έργων κρυπτονομισμάτων.

Το συνημμένο phishing γίνεται το σημείο πρόσβασης

Στην απόκρισή της στο περιστατικό, η Quantstamp δήλωσε ότι οι επιτιθέμενοι του Humanity Protocol απέκτησαν πλεονέκτημα μέσω του παραβιασμένου laptop ενός υπαλλήλου. Η μέθοδος, σύμφωνα με την εταιρεία, ήταν ένα email phishing με κακόβουλο συνημμένο που υποδυόταν μια ενημέρωση σχετική με token.

Το συνημμένο ήταν μεταμφιεσμένο ως αυτό που φαινόταν να είναι μια ενημέρωση χρονοδιαγράμματος κλειδώματος token από το Bithumb. Μόλις ανοίχτηκε, το payload εγκατέστησε κακόβουλο λογισμικό που, σύμφωνα με την Quantstamp, παρείχε στους επιτιθέμενους πλήρη απομακρυσμένη πρόσβαση στη συσκευή.

Αυτό έχει σημασία διότι μετατοπίζει το περιστατικό από μια αμιγώς on-chain αφήγηση εκμετάλλευσης σε μια πιο ανθρωποκεντρική αφήγηση κινδύνου υποδομής: ο άμεσος μηχανισμός παραβίασης βασίστηκε στην παραβίαση του τελικού χρήστη και όχι σε άμεση ευπάθεια στον κώδικα έξυπνου συμβολαίου.

Κλοπή διαπιστευτηρίων πορτοφολιού και ο ρόλος της απομακρυσμένης πρόσβασης

Η Quantstamp πρόσθεσε ότι οι δυνατότητες του κακόβουλου λογισμικού εκτείνονταν πέρα από τον γενικό έλεγχο του laptop. Η εταιρεία δήλωσε ότι οι επιτιθέμενοι χρησιμοποίησαν την πρόσβαση για να αντιγράψουν τα διαπιστευτήρια πορτοφολιού MetaMask και τα ιδιωτικά κλειδιά του διευθυντή του Humanity Protocol, Chong Yee Wai.

Αυτή η ροή εργασίας—κλοπή υλικού πορτοφολιού μετά από απομακρυσμένη παραβίαση—μπορεί να επιτρέψει γρήγορη μετακίνηση κεφαλαίων. Επίσης αναδεικνύει γιατί τα περιστατικά κρυπτονομισμάτων συχνά εξαρτώνται από ελέγχους ασφάλειας τελικού σημείου, όπως ανθεκτικός στο phishing έλεγχος ταυτότητας και ισχυρές διαδικασίες χειρισμού κλειδιών, και όχι μόνο από άμυνες σε επίπεδο συμβολαίου.

Τεχνικά σήματα που η Quantstamp συνδέει με εισβολές DPRK

Πέρα από το phishing και την απομακρυσμένη πρόσβαση, η Quantstamp επεσήμανε μια τεχνική λεπτομέρεια που περιέγραψε ως «χαρακτηριστική των εισβολών DPRK». Η εταιρεία δήλωσε ότι το κακόβουλο λογισμικό ήταν υπογεγραμμένο με νοτιοκορεατικό ψηφιακό πιστοποιητικό Hancom.

Η απόδοση της Quantstamp είναι συνεπής με τον τρόπο κατασκευής πολλών εκθέσεων απειλών σε κυβερνοερευνητικές έρευνες: ενώ η ακριβής απόδοση σπάνια επιβεβαιώνεται δημόσια, οι αναλυτές συχνά χρησιμοποιούν συνδυασμούς εργαλείων, συμπεριφοράς υπογραφής και λειτουργικών προτύπων. Σε αυτή την περίπτωση, η παρουσία ενός συγκεκριμένου πιστοποιητικού υπογραφής και η παρατηρούμενη συμπεριφορά κακόβουλου λογισμικού παρουσιάζονται ως συσχετιζόμενες ενδείξεις.

Πώς αυτό εντάσσεται σε ένα ευρύτερο πρότυπο κλοπής κρυπτονομισμάτων συνδεόμενης με τη Βόρεια Κορέα

Η ύποπτη σύνδεση με τη Βόρεια Κορέα δεν εμφανίζεται μεμονωμένα. Η έκθεση της Quantstamp πλαισιώνεται σε ένα φόντο μεγάλων κλοπών κρυπτονομισμάτων που πολλαπλές αξιολογήσεις ασφάλειας έχουν αποδώσει σε ομάδες που συνδέονται με τη Βόρεια Κορέα.

Το Cointelegraph είχε αναφέρει προηγουμένως ότι φορείς απειλής που συνδέονται με τη Βόρεια Κορέα είχαν συνδεθεί με τουλάχιστον 578 εκατομμύρια δολάρια από τα 634 εκατομμύρια δολάρια που κλάπηκαν σε περιστατικά σχετικά με κρυπτονομίσματα τον Απρίλιο, αναφερόμενο σε προγενέστερη ανάλυση.

Χωριστά, μια έκθεση του Μαΐου από την εταιρεία ασφάλειας blockchain CertiK ανέφερε ότι οι ίδιοι φορείς έχουν συνδεθεί με περίπου 2 δισεκατομμύρια δολάρια από τα 3,4 δισεκατομμύρια δολάρια που χάθηκαν σε εκμεταλλεύσεις κρυπτονομισμάτων το 2025, αντιπροσωπεύοντας το 12% του συνόλου των περιστατικών. Η CertiK χαρακτήρισε τις επιχειρήσεις ως αντανακλαστικές «ακρίβειας και κλίμακας», τονίζοντας ότι η εστίαση δεν είναι μόνο στον όγκο αλλά στην αποτελεσματική εκτέλεση.

Κοιτάζοντας σε μακρύτερους χρονικούς ορίζοντες, μια έκθεση που αναφέρεται στο άρθρο αναφέρει ότι την τελευταία δεκαετία φορείς που συνδέονται με τη Βόρεια Κορέα έκλεψαν εκτιμώμενα 6,75 δισεκατομμύρια δολάρια σε κρυπτονομίσματα σε 263 τεκμηριωμένα περιστατικά. Η CertiK επίσης δήλωσε ότι η Βόρεια Κορέα έχει «εκβιομηχανίσει» την κλοπή κρυπτονομισμάτων ως βασικό μηχανισμό κρατικών εσόδων, τοποθετώντας τη δραστηριότητα ως σημαντικό συστατικό εξωτερικού εισοδήματος.

Άρνηση από τη Βόρεια Κορέα και γιατί η απόδοση παραμένει αμφιλεγόμενη

Η Βόρεια Κορέα συνήθως δεν απαντά άμεσα σε κατηγορίες για εγκλήματα στον κυβερνοχώρο. Ωστόσο, το άρθρο σημειώνει ότι στις 3 Μαΐου, εκπρόσωπος του Υπουργείου Εξωτερικών απέρριψε ισχυρισμούς για εμπλοκή σε κυβερνοεπιθέσεις κρυπτονομισμάτων σε δήλωση που μεταδόθηκε από το Κορεατικό Κεντρικό Πρακτορείο Ειδήσεων.

Σε αυτή την απάντηση, ο εκπρόσωπος υποστήριξε ότι οι ΗΠΑ διαδίδουν «εσφαλμένες» αφηγήσεις για μια «ανύπαρκτη "κυβερνοαπειλή"» από τη Βόρεια Κορέα, σύμφωνα με την έκθεση που αναφέρεται στο άρθρο.

Για επενδυτές και φορείς εκμετάλλευσης, το βασικό συμπέρασμα δεν είναι να αντιμετωπίζουν τους ισχυρισμούς απόδοσης ως βεβαιότητα δικαστηρίου, αλλά να αναγνωρίζουν ότι τα πρότυπα πίσω από αυτά τα περιστατικά—ιδιαίτερα η παραβίαση τελικού σημείου και η κλοπή διαπιστευτηρίων—είναι εφαρμόσιμα ανεξάρτητα από τις συζητήσεις απόδοσης. Ακόμα και όταν η εμπλοκή κράτους αμφισβητείται, οι πρακτικές άμυνες παραμένουν παρόμοιες: ενίσχυση της πρόσβασης στα συστήματα προσωπικού, μείωση της έκθεσης σε κακόβουλο λογισμικό συλλογής διαπιστευτηρίων και διασφάλιση ότι τα σχέδια ανάκαμψης και απόκρισης σε περιστατικά υποθέτουν ότι η κοινωνική μηχανική μπορεί να πετύχει.

Στο μέλλον, τα κύρια πράγματα που πρέπει να παρακολουθούν οι αναγνώστες είναι οι επακόλουθες ενημερώσεις από το Humanity Protocol και τους παρακολουθητές ασφάλειας σχετικά με το αν στοχεύτηκαν πρόσθετα πορτοφόλια ή συναφής υποδομή, μαζί με ευρύτερες οδηγίες εργαλείων από την Quantstamp και άλλους αναλυτές για την πρόληψη εξαγορών τελικού σημείου που οδηγούνται από phishing.

Αυτό το άρθρο δημοσιεύτηκε αρχικά ως Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors στο Crypto Breaking News – η αξιόπιστη πηγή σας για νέα κρυπτονομισμάτων, νέα Bitcoin και ενημερώσεις blockchain.