Quantstamp associe le piratage de 36 M$ du Humanity Protocol à des acteurs suspectés nord-coréens

La société de sécurité blockchain Quantstamp affirme qu'un e-mail d'hameçonnage et un ordinateur portable compromis ont été des étapes clés dans le récent incident du Humanity Protocol, qui a abouti au vol de tokens Humanity (H) d'une valeur de 36 millions de dollars. L'enquête de la société pointe vers une activité de menace liée à la Corée du Nord, citant des indicateurs techniques tels qu'un certificat numérique sud-coréen et un comportement de logiciel malveillant cohérent avec les schémas d'intrusion de la RPDC.

Quantstamp rapporte que les attaquants ont utilisé une pièce jointe malveillante déguisée en mise à jour d'un calendrier de verrouillage de tokens, prétendument liée à Bithumb, l'une des principales plateformes d'échange de cryptomonnaies en Corée du Sud. Une fois le fichier transmis à un employé, le logiciel malveillant s'est installé et a fourni aux attaquants un accès à distance complet, leur permettant d'atteindre les informations sensibles du portefeuille utilisées dans les opérations du protocole.

Points clés

• Quantstamp attribue la compromission du Humanity Protocol à une pièce jointe d'hameçonnage ayant permis un accès à distance complet à l'ordinateur portable compromis d'un employé.
• Le logiciel malveillant aurait été signé avec un certificat numérique Hancom associé à des schémas d'intrusion similaires à ceux de la RPDC.
• Les attaquants ont pu extraire les identifiants du portefeuille, y compris les données du portefeuille MetaMask et les clés privées, d'un directeur du Humanity Protocol.
• Les sociétés de sécurité continuent de lier les acteurs liés à la Corée du Nord à une part substantielle des pertes liées au vol de cryptomonnaies au cours des dernières années et en 2025.
• Les conclusions de Quantstamp s'ajoutent à un schéma croissant où l'ingénierie sociale ciblée est utilisée pour atteindre des individus au sein de projets crypto.

La pièce jointe d'hameçonnage devient le point d'accès

Dans sa réponse à l'incident, Quantstamp a déclaré que les attaquants du Humanity Protocol ont obtenu un levier grâce à l'ordinateur portable compromis d'un employé. La méthode, selon la société, était un e-mail d'hameçonnage avec une pièce jointe malveillante imitant une mise à jour liée à un token.

La pièce jointe était déguisée en ce qui semblait être une mise à jour d'un calendrier de verrouillage de tokens de Bithumb. Une fois ouverte, la charge utile a installé un logiciel malveillant qui, selon Quantstamp, a accordé aux attaquants un accès à distance complet à l'appareil.

Cela est important car cela fait passer l'incident d'un récit d'exploitation purement on-chain à un récit de risque humain-infrastructure : le mécanisme de violation immédiat reposait sur la compromission de l'utilisateur final plutôt que sur une vulnérabilité directe dans le code du smart contract.

Vol d'identifiants de portefeuille et rôle de l'accès à distance

Quantstamp a ajouté que les capacités du logiciel malveillant allaient au-delà du contrôle général de l'ordinateur portable. La société a déclaré que les attaquants ont utilisé l'accès pour copier les identifiants du portefeuille MetaMask et les clés privées de Chong Yee Wai, directeur du Humanity Protocol.

Ce flux de travail — vol de données de portefeuille suite à une compromission à distance — peut permettre un mouvement rapide des fonds. Cela souligne également pourquoi les incidents crypto dépendent souvent des contrôles de sécurité des terminaux, tels que l'authentification résistante à l'hameçonnage et des procédures solides de gestion des clés, plutôt que des seules défenses au niveau des contrats.

Signaux techniques que Quantstamp associe aux intrusions de la RPDC

Au-delà de l'hameçonnage et de l'accès à distance, Quantstamp a pointé un détail technique qu'elle a décrit comme « caractéristique des intrusions de la RPDC ». La société a déclaré que le logiciel malveillant était signé avec un certificat numérique Hancom sud-coréen.

L'attribution de Quantstamp est cohérente avec la manière dont de nombreux rapports de menaces sont construits dans les enquêtes cybernétiques : bien que l'attribution exacte soit rarement confirmée publiquement, les analystes utilisent souvent des combinaisons d'outils, de comportements de signature et de schémas opérationnels. Dans ce cas, la présence d'un certificat de signature spécifique et le comportement observé du logiciel malveillant sont présentés comme des indicateurs corrélés.

Comment cela s'inscrit dans un schéma plus large de vol de cryptomonnaies lié à la Corée du Nord

Le lien suspecté avec la Corée du Nord n'apparaît pas de manière isolée. Le rapport de Quantstamp est encadré dans un contexte de vols majeurs de cryptomonnaies que plusieurs évaluations de sécurité ont attribués à des groupes liés à la Corée du Nord.

Cointelegraph a précédemment rapporté que des acteurs de menace liés à la Corée du Nord étaient liés à au moins 578 millions de dollars des 634 millions de dollars volés lors d'incidents liés aux cryptomonnaies en avril, en référence à une analyse antérieure.

Séparément, un rapport de mai de la société de sécurité blockchain CertiK a déclaré que les mêmes acteurs ont été liés à environ 2 milliards de dollars des 3,4 milliards de dollars perdus à cause d'exploits crypto en 2025, tout en représentant 12 % du total des incidents. CertiK a caractérisé les opérations comme reflétant « précision et échelle », soulignant que l'accent n'est pas seulement mis sur le volume mais sur l'exécution efficace.

Sur des horizons temporels plus longs, un rapport cité dans l'article indique qu'au cours de la dernière décennie, des acteurs liés à la Corée du Nord ont volé environ 6,75 milliards de dollars en cryptomonnaies dans le cadre de 263 incidents documentés. CertiK a également déclaré que la Corée du Nord a « industrialisé » le vol de cryptomonnaies comme mécanisme de revenus étatique central, positionnant cette activité comme une composante significative des revenus externes.

Démenti de la Corée du Nord et raisons pour lesquelles l'attribution reste controversée

La Corée du Nord ne répond généralement pas directement aux allégations de cybercriminalité. Cependant, l'article note que le 3 mai, un porte-parole du ministère des Affaires étrangères a rejeté les allégations d'implication dans des piratages de cryptomonnaies dans une déclaration relayée par l'Agence centrale de presse coréenne.

Dans cette réponse, le porte-parole a soutenu que les États-Unis diffusent des récits « incorrects » sur une « 'cybermenace' inexistante » de la Corée du Nord, selon le rapport référencé dans l'article.

Pour les investisseurs et les opérateurs, le principal enseignement n'est pas de traiter les affirmations d'attribution avec une certitude digne d'un tribunal, mais de reconnaître que les schémas derrière ces incidents — en particulier la compromission des terminaux et le vol d'identifiants — sont exploitables indépendamment des débats sur l'attribution. Même lorsque l'implication d'un État est contestée, les défenses pratiques restent similaires : renforcer l'accès aux systèmes du personnel, réduire l'exposition aux logiciels malveillants de collecte d'identifiants et s'assurer que les plans de récupération et de réponse aux incidents supposent que l'ingénierie sociale peut réussir.

À l'avenir, les principales choses que les lecteurs devraient surveiller sont les mises à jour de suivi du Humanity Protocol et des moniteurs de sécurité sur la question de savoir si des portefeuilles supplémentaires ou des infrastructures connexes ont été ciblés, ainsi que des conseils plus larges sur les outils de Quantstamp et d'autres analystes pour prévenir les prises de contrôle de terminaux menées par hameçonnage.

Cet article a été initialement publié sous le titre Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors sur Crypto Breaking News – votre source de confiance pour les actualités crypto, les actualités Bitcoin et les mises à jour blockchain.