Quantstamp associa o hack de 36 milhões de dólares do Humanity Protocol a suspeitos agentes norte-coreanos

A empresa de segurança blockchain Quantstamp afirma que um e-mail de phishing e um computador portátil comprometido foram etapas fundamentais no recente incidente com o Humanity Protocol, que resultou no roubo de tokens Humanity (H) no valor de 36 milhões de dólares. A investigação da empresa aponta para atividade de ameaça ligada à Coreia do Norte, citando indicadores técnicos como um certificado digital sul-coreano e comportamento de malware consistente com padrões de intrusão da DPRK.

A Quantstamp relata que os atacantes utilizaram um anexo malicioso disfarçado de atualização de calendário de bloqueio de tokens, supostamente associado à Bithumb, uma das principais exchanges de criptomoedas da Coreia do Sul. Depois de o ficheiro ser entregue a um funcionário, o malware instalou-se e forneceu aos atacantes acesso remoto total — permitindo-lhes aceder a material sensível de carteiras utilizadas nas operações do protocolo.

Principais conclusões

• A Quantstamp atribui o comprometimento do Humanity Protocol a um anexo de phishing que permitiu acesso remoto total ao computador portátil de um funcionário comprometido.
• O malware terá sido assinado com um certificado digital Hancom associado a padrões de intrusão semelhantes aos da DPRK.
• Os atacantes conseguiram extrair credenciais de carteiras, incluindo dados da carteira MetaMask e chaves privadas, de um diretor do Humanity Protocol.
• As empresas de segurança continuam a associar atores ligados à Coreia do Norte a uma parte substancial das perdas por roubo de cripto nos últimos anos e em 2025.
• As descobertas da Quantstamp acrescentam-se a um padrão crescente em que a engenharia social direcionada é utilizada para atingir indivíduos dentro de projetos cripto.

O anexo de phishing torna-se o ponto de acesso

Na sua resposta ao incidente, a Quantstamp afirmou que os atacantes do Humanity Protocol obtiveram vantagem através do computador portátil comprometido de um funcionário. O método, segundo a empresa, foi um e-mail de phishing com um anexo malicioso que se fazia passar por uma atualização relacionada com tokens.

O anexo foi disfarçado como uma aparente atualização de calendário de bloqueio de tokens proveniente da Bithumb. Uma vez aberto, o payload instalou malware que, segundo a Quantstamp, concedeu aos atacantes acesso remoto total ao dispositivo.

Isto é relevante porque desloca o incidente de uma narrativa puramente on-chain para uma narrativa de risco de infraestrutura humana: o mecanismo imediato de violação dependeu do comprometimento do utilizador final, e não de uma vulnerabilidade direta no código de contrato inteligente.

Roubo de credenciais de carteiras e o papel do acesso remoto

A Quantstamp acrescentou que as capacidades do malware iam além do controlo geral do computador portátil. A empresa afirmou que os atacantes utilizaram o acesso para copiar as credenciais da carteira MetaMask e as chaves privadas de Chong Yee Wai, diretor do Humanity Protocol.

Este fluxo de trabalho — roubo de material de carteiras após comprometimento remoto — pode permitir a movimentação rápida de fundos. Destaca também por que razão os incidentes cripto dependem frequentemente de controlos de segurança de endpoints, como autenticação resistente a phishing e procedimentos robustos de gestão de chaves, e não apenas de defesas ao nível dos contratos.

Sinais técnicos que a Quantstamp associa a intrusões da DPRK

Para além do phishing e do acesso remoto, a Quantstamp apontou um detalhe técnico que descreveu como "característico das intrusões da DPRK". A empresa afirmou que o malware foi assinado com um certificado digital Hancom sul-coreano.

A atribuição da Quantstamp é consistente com a forma como muitos relatórios de ameaças são construídos em investigações cibernéticas: embora a atribuição exata raramente seja confirmada publicamente, os analistas utilizam frequentemente combinações de ferramentas, comportamento de assinatura e padrões operacionais. Neste caso, a presença de um certificado de assinatura específico e o comportamento observado do malware são apresentados como indicadores correlacionados.

Como isto se enquadra num padrão mais amplo de roubo de cripto ligado à Coreia do Norte

A suspeita de ligação norte-coreana não surge de forma isolada. O relatório da Quantstamp é enquadrado num contexto de grandes roubos de cripto que múltiplas avaliações de segurança atribuíram a grupos ligados à Coreia do Norte.

O Cointelegraph noticiou anteriormente que atores de ameaças ligados à Coreia do Norte estavam associados a pelo menos 578 milhões de dólares dos 634 milhões de dólares roubados em incidentes relacionados com cripto em abril, referenciando uma análise anterior.

Separadamente, um relatório de maio da empresa de segurança blockchain CertiK indicou que os mesmos atores têm sido associados a cerca de 2 mil milhões de dólares dos 3,4 mil milhões de dólares perdidos em exploits cripto em 2025, representando 12% do total de incidentes. A CertiK caracterizou as operações como refletindo "precisão e escala", salientando que o foco não é apenas o volume, mas a execução eficaz.

Numa perspetiva de horizontes temporais mais longos, um relatório citado no artigo indica que, ao longo da última década, atores ligados à Coreia do Norte roubaram cerca de 6,75 mil milhões de dólares em criptomoedas em 263 incidentes documentados. A CertiK afirmou ainda que a Coreia do Norte "industrializou" o roubo de cripto como um mecanismo central de receitas do Estado, posicionando a atividade como uma componente significativa das receitas externas.

Negação da Coreia do Norte e por que razão a atribuição permanece controversa

A Coreia do Norte normalmente não responde diretamente a alegações de cibercrime. No entanto, o artigo refere que, a 3 de maio, um porta-voz do Ministério dos Negócios Estrangeiros rejeitou alegações de envolvimento em ataques a cripto numa declaração veiculada pela Agência Central de Notícias da Coreia.

Nessa resposta, o porta-voz argumentou que os EUA estão a difundir narrativas "incorretas" sobre uma "'ameaça cibernética' inexistente" proveniente da Coreia do Norte, de acordo com o relatório referenciado no artigo.

Para investidores e operadores, a principal conclusão não é tratar as alegações de atribuição com certeza de nível judicial, mas reconhecer que os padrões por detrás destes incidentes — especialmente o comprometimento de endpoints e o roubo de credenciais — são acionáveis independentemente dos debates sobre atribuição. Mesmo quando o envolvimento estatal é contestado, as defesas práticas permanecem semelhantes: reforçar o acesso aos sistemas de pessoal, reduzir a exposição a malware de recolha de credenciais e garantir que os planos de recuperação e resposta a incidentes assumem que a engenharia social pode ter sucesso.

Daqui para a frente, os principais aspetos a acompanhar pelos leitores são as atualizações do Humanity Protocol e dos monitores de segurança sobre se carteiras adicionais ou infraestruturas relacionadas foram visadas, bem como orientações mais amplas sobre ferramentas da Quantstamp e de outros analistas para prevenir tomadas de controlo de endpoints lideradas por phishing.

Este artigo foi originalmente publicado como Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors no Crypto Breaking News — a sua fonte de confiança para notícias cripto, notícias sobre Bitcoin e atualizações blockchain.