Quantstamp связывает взлом Humanity Protocol на $36 млн с предполагаемыми северокорейскими хакерами

Компания по безопасности блокчейна Quantstamp заявляет, что фишинговое письмо и скомпрометированный ноутбук стали ключевыми элементами недавнего инцидента с Humanity Protocol, в результате которого были похищены токены Humanity (H) на сумму 36 млн $. Расследование компании указывает на угрозу, связанную с Северной Кореей, ссылаясь на технические индикаторы, такие как южнокорейский цифровой сертификат и поведение вредоносного ПО, характерное для схем вторжений КНДР.

Quantstamp сообщает, что злоумышленники использовали вредоносное вложение, замаскированное под обновление расписания блокировки токенов, якобы связанное с Bithumb — одной из крупнейших криптовалютных бирж Южной Кореи. После доставки файла сотруднику вредоносное ПО установилось само и предоставило злоумышленникам полный удалённый доступ, позволив им получить конфиденциальные материалы кошелька, используемые в операциях протокола.

Ключевые выводы

• Quantstamp связывает компрометацию Humanity Protocol с фишинговым вложением, которое обеспечило полный удалённый доступ к ноутбуку скомпрометированного сотрудника.
• Сообщается, что вредоносное ПО было подписано цифровым сертификатом Hancom, ассоциированным со схемами вторжений, характерными для КНДР.
• Злоумышленникам удалось извлечь учётные данные кошелька, включая данные кошелька MetaMask и приватные ключи, у директора Humanity Protocol.
• Компании по безопасности продолжают связывать субъектов, аффилированных с Северной Кореей, со значительной долей потерь от краж криптовалют в последние годы и в 2025 году.
• Выводы Quantstamp дополняют растущую закономерность, при которой целевая социальная инженерия используется для воздействия на отдельных участников криптопроектов.

Фишинговое вложение как точка входа

В ходе реагирования на инцидент Quantstamp сообщил, что злоумышленники, атаковавшие Humanity Protocol, получили плацдарм через скомпрометированный ноутбук сотрудника. По данным компании, методом атаки было фишинговое письмо с вредоносным вложением, имитирующим обновление, связанное с токеном.

Вложение было замаскировано под обновление расписания блокировки токенов от Bithumb. После открытия полезная нагрузка установила вредоносное ПО, которое, по словам Quantstamp, предоставило злоумышленникам полный удалённый доступ к устройству.

Это важно, поскольку смещает нарратив инцидента с чисто сетевого эксплойта на нарратив о риске человеческой инфраструктуры: непосредственный механизм взлома основывался на компрометации конечного пользователя, а не на прямой уязвимости в коде смарт-контракта.

Кража учётных данных кошелька и роль удалённого доступа

Quantstamp также добавил, что возможности вредоносного ПО выходили за рамки общего контроля над ноутбуком. По словам компании, злоумышленники использовали доступ для копирования учётных данных кошелька MetaMask и приватных ключей директора Humanity Protocol Чон И Вэя.

Такая схема — кража материалов кошелька после удалённой компрометации — позволяет быстро перемещать средства. Это также подчёркивает, почему криптовалютные инциденты часто зависят от средств контроля безопасности конечных точек, таких как устойчивая к фишингу аутентификация и надёжные процедуры работы с ключами, а не только от защиты на уровне контрактов.

Технические признаки, которые Quantstamp связывает со вторжениями КНДР

Помимо фишинга и удалённого доступа, Quantstamp указал на техническую деталь, которую охарактеризовал как «характерную для вторжений КНДР». Компания сообщила, что вредоносное ПО было подписано южнокорейским цифровым сертификатом Hancom.

Атрибуция Quantstamp соответствует тому, как многие отчёты об угрозах строятся в ходе киберрасследований: хотя точная атрибуция редко подтверждается публично, аналитики часто используют комбинации инструментария, поведения при подписании и операционных паттернов. В данном случае наличие конкретного подписывающего сертификата и наблюдаемое поведение вредоносного ПО представлены как коррелирующие индикаторы.

Как это вписывается в более широкую закономерность краж криптовалют, связанных с Северной Кореей

Предполагаемая связь с Северной Кореей не является изолированным случаем. Отчёт Quantstamp формируется на фоне крупных краж криптовалют, которые несколько оценок безопасности приписывают группам, связанным с Северной Кореей.

Ранее Cointelegraph сообщал, что субъекты угроз, связанные с Северной Кореей, были причастны как минимум к 578 млн $ из 634 млн $, похищенных в криптовалютных инцидентах в апреле, со ссылкой на более ранний анализ.

Отдельно, майский отчёт компании по безопасности блокчейна CertiK сообщил, что те же субъекты были связаны примерно с 2 млрд $ из 3,4 млрд $, потерянных в результате криптовалютных эксплойтов в 2025 году, составив при этом 12% от общего числа инцидентов. CertiK охарактеризовал операции как отражающие «точность и масштаб», подчеркнув, что акцент делается не только на объёме, но и на эффективном исполнении.

В более долгосрочной перспективе, согласно отчёту, упомянутому в статье, за последнее десятилетие субъекты, связанные с Северной Кореей, похитили около 6,75 млрд $ в криптовалюте в ходе 263 задокументированных инцидентов. CertiK также заявил, что Северная Корея «индустриализировала» кражу криптовалют как основной механизм государственных доходов, позиционируя эту деятельность как значимый компонент внешних доходов.

Отрицание со стороны Северной Кореи и почему атрибуция остаётся спорной

Северная Корея, как правило, не реагирует напрямую на обвинения в киберпреступлениях. Однако в статье отмечается, что 3 мая представитель Министерства иностранных дел отверг обвинения в причастности к взломам криптовалют в заявлении, распространённом Центральным телеграфным агентством Кореи.

В своём ответе представитель заявил, что США распространяют «некорректные» нарративы о «несуществующей "киберугрозе"» со стороны Северной Кореи, согласно отчёту, упомянутому в материале.

Для инвесторов и операторов ключевой вывод состоит не в том, чтобы воспринимать заявления об атрибуции как достоверность судебного уровня, а в том, чтобы признать, что паттерны, стоящие за этими инцидентами, — особенно компрометация конечных точек и кража учётных данных, — требуют действий независимо от споров об атрибуции. Даже когда причастность государства оспаривается, практические меры защиты остаются схожими: укрепить доступ к кадровым системам, снизить подверженность вредоносному ПО для сбора учётных данных и обеспечить, чтобы планы восстановления и реагирования на инциденты исходили из того, что социальная инженерия может оказаться успешной.

В дальнейшем читателям следует следить за последующими обновлениями от Humanity Protocol и мониторов безопасности относительно того, были ли атакованы дополнительные кошельки или связанная инфраструктура, а также за более широкими рекомендациями по инструментарию от Quantstamp и других аналитиков по предотвращению захвата конечных точек в результате фишинга.

Эта статья была первоначально опубликована как Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors на Crypto Breaking News — вашем надёжном источнике новостей о криптовалютах, Bitcoin и обновлениях блокчейна.