Quantstamp łączy włamanie do Humanity Protocol z aktorami z KRLD, przeniesiono 141M H

Kradzież 141 milionów tokenów H z Humanity Protocol, do której doszło 8 czerwca, nie rozpoczęła się od exploita w kodzie, lecz od przejęcia kontroli nad prywatnym urządzeniem — klasyczny znak rozpoznawczy północnokoreańskich kampanii cybernetycznych. Nowy raport firmy Quantstamp, uzyskany przez WuBlockchain, opisuje, w jaki sposób atakujący wykorzystali atak phishingowy, aby uzyskać zdalny dostęp do komputera dyrektora, a następnie skopiowali dane portfela i klucze prywatne. Incydent ujawnia, że urządzenia końcowe użytkowników są najsłabszym ogniwem nawet w dobrze finansowanych projektach Web3.

Po uzyskaniu dostępu napastnicy przeprowadzili równoległe operacje na dwóch oddzielnych łańcuchach. Na Ethereum zaktualizowali kontrakt tokena H i przenieśli około 141,18 miliona tokenów H poza kontrolę protokołu. Na BNB Smart Chain przejęli kontrolę nad kontraktem ProxyAdmin i wykorzystali go do wybicia dodatkowych tokenów H. Manewr na dwóch łańcuchach sugeruje przygotowania poprzedzające punkt wejścia przez phishing i wskazuje na grupę dysponującą głęboką wiedzą z zakresu inżynierii blockchain.

Wzorcowa infiltracja DPRK

Quantstamp oznaczył narzędzia i wzorce podpisywania certyfikatów zaobserwowane w ataku jako charakterystyczne dla włamań powiązanych z Koreańską Republiką Ludowo-Demokratyczną (KRLD). Grupy wspierane przez państwo, takie jak Lazarus, od lat doskonalą techniki łączące phishing, inżynierię społeczną i ewazywy pranie środków on-chain. Użycie uzbrojonych dokumentów lub przynęt w celu skompromitowania wartościowego celu, a następnie szybka rekonfiguracja kontraktów, odzwierciedla operacje przypisywane Pjongjangowi wymierzone w inne projekty DeFi.

Tym, co wyróżnia ten incydent, jest swoboda, z jaką atakujący poruszali się jednocześnie między Ethereum a BNB Smart Chain. Wiele narzędzi monitorujących stosowanych przez giełdy nadal traktuje aktywność poszczególnych łańcuchów w izolacji, tworząc martwy punkt, który wykorzystują podmioty państwowe. Możliwość wybicia nowych tokenów w oddzielnej sieci po opróżnieniu głównego kontraktu zwiększa łączny łup, jednocześnie komplikując działania organów ścigania zmierzające do odzyskania środków.

Gdzie mogą trafić skradzione tokeny

Kradzieże kryptowalut na dużą skalę przez KRLD historycznie kierują środki przez zdecentralizowane giełdy, mosty międzyłańcuchowe i mikserzy, zanim trafią na nieuregulowane giełdy offshore. 141 milionów tokenów H prawdopodobnie podąży tą samą ścieżką, choć raport Quantstamp nie opisuje szczegółowo ruchów po kradzieży. Biorąc pod uwagę wolumen, każda próba spieniężenia napotka ograniczenia płynności, jednak powolne i cierpliwe pranie środków jest znana taktyką KRLD. Firmy zajmujące się analizą blockchain oraz scentralizowane giełdy aktywnie umieszczające oznaczone adresy na czarnych listach mogą częściowo złagodzić skutki, jednak wymienialność na DEX-ach pozostaje wyzwaniem.

Czas ataku zbiegł się z i tak już napiętym tygodniem dla bezpieczeństwa kryptowalut. Wiele protokołów padło ofiarą exploitów mostów, a regulatorzy nadal powołują się na niedostateczną ochronę użytkowników jako uzasadnienie dla bardziej rygorystycznego nadzoru. Incydent z Humanity Protocol ma miejsce w momencie, gdy lobbyści bankowi naciskają na odrzucenie ważnego amerykańskiego projektu ustawy o kryptowalutach — posunięcie, które mogłoby pozostawić zabezpieczenia konsumentów w legislacyjnej próżni przez wiele miesięcy.

Co to oznacza dla zaufania instytucjonalnego

Protokoły, które pozycjonują się jako zorientowane na tożsamość lub człowieka, ponoszą szczególny uszczerbek na reputacji, gdy pojedynczy link phishingowy powoduje stratę rzędu dziewięciocyfrowego. Naruszenie nie wydaje się wynikać z wady w logice inteligentnego kontraktu tokena H — powierzchnią ataku było bezpieczeństwo operacyjne kluczowego personelu. To rozróżnienie ma znaczenie dla instytucji rozważających integrację takich protokołów. Raport z audytu kodu może wykazać czyste wyniki, a mimo to całe wdrożenie może zostać zniweczone przez słabą politykę bezpieczeństwa urządzeń.

Pozostają otwarte pytania. Humanity Protocol nie ujawnił jeszcze, czy jakiekolwiek skradzione tokeny zostały zamrożone ani czy trwa plan odzyskania środków z udziałem organów ścigania. Przypisanie przez Quantstamp odpowiedzialności KRLD, choć szczegółowe pod względem narzędzi, nie ujawnia konkretnych adresów portfeli w publicznej wersji ustaleń. Bez możliwej do zidentyfikowania przez społeczność atrybucji on-chain giełdy i organy nadzoru mogą wahać się przed podjęciem działań. Najbliższe dni pokażą, czy protokół jest w stanie ograniczyć szkody i czy giełdy działające zarówno na Ethereum, jak i BNB Smart Chain skoordynują jednolitą odpowiedź. Na razie rynek pozostaje z 141 milionami tokenów H w rękach złodziei wspieranych przez państwo — przypomnienie, że najdroższe włamania wciąż często zaczynają się od jednego kliknięcia.