Humanity Protocol obwinia hakerów powiązanych z Koreą Północną za kradzież 36 mln dolarów

Humanity Protocol przypisał kradzież tokenów o wartości około 36 milionów dolarów hakerom powiązanym z Koreą Północną, po tym jak dochodzenie wykazało, że atakujący uzyskali dostęp do krytycznych kluczy prywatnych za pośrednictwem skompromitowanego urządzenia programisty.

Zgodnie z ujawnieniem przez Humanity Protocol 13 czerwca wyników dochodzenia bezpieczeństwa przeprowadzonego przez Quantstamp, atakujący przejęli kontrolę nad kluczową infrastrukturą i wyprowadzili około 141 milionów tokenów H z mostu Ethereum projektu przed wybiciem dodatkowych tokenów na BNB Smart Chain.

Ustalenia dają pełniejszy obraz incydentu, który wywołał gwałtowną wyprzedaż tokenów H i wzbudził nowe obawy dotyczące praktyk bezpieczeństwa operacyjnego w projektach kryptowalutowych. 

Quantstamp stwierdził, że atak obejmował narzędzia i aktywność związaną z podpisywaniem certyfikatów, powszechnie kojarzoną z włamaniami przypisywanymi północnokoreańskim podmiotom stanowiącym zagrożenie.

Skompromitowane klucze prywatne umożliwiły autoryzowane transakcje

Szczegóły ujawnione przez Humanity Protocol wskazują, że naruszenie rozpoczęło się, gdy atakujący uzyskali dostęp root do maszyny programisty zainfekowanej złośliwym oprogramowaniem. Zgodnie z raportem incydentowym projektu opublikowanym na początku tego tygodnia, urządzenie zawierało kopie zapasowe siedmiu kluczy prywatnych, które zostały przypadkowo zapisane podczas uruchomienia mainnet Humanity Protocol w czerwcu 2025 roku.

Te dane uwierzytelniające obejmowały klucz administratorskiego gorącego portfela, trzy klucze właściciela Ethereum Safe oraz trzy klucze właściciela BNB Safe. Humanity Protocol poinformował, że dostęp do tych kluczy dał atakującemu kontrolę nad wieloma systemami produkcyjnymi z jednego urządzenia.

Używając prawidłowych danych uwierzytelniających zamiast exploitowania kodu inteligentnych kontraktów, atakujący był w stanie autoryzować przelewy, wykonywać transakcje Safe i zatwierdzać aktualizacje kontraktów. Humanity Protocol stwierdził, że transakcje zawierały wystarczającą liczbę podpisów, aby spełnić wymagania progowe Safe, przez co działania wyglądały na legitymowane w łańcuchu.

Po aktualizacji kontraktu około 141 milionów tokenów H zostało usuniętych z mostu Ethereum w jednej transakcji. Quantstamp poinformował, że dodatkowe tokeny H zostały później wybite na BNB Smart Chain, a większość przychodów została ostatecznie skonwertowana na ETH.

Humanity Protocol podkreślił, że ani jego kontrakty mostowe, ani kontrakty tokenowe, ani architektura Safe nie zostały naruszone. Według projektu incydent wynikał wyłącznie z kradzieży kluczy prywatnych, a nie z podatności w podstawowej infrastrukturze.

Załamanie tokena nastąpiło po prześledzeniu ataku przez śledczych

Reakcja rynku była natychmiastowa po upublicznieniu szczegółów exploitu. Zgodnie z raportami cytowanymi przez Humanity Protocol, token H stracił od 80% do 90% swojej wartości wkrótce po ujawnieniu naruszenia.

Wcześniejszy reportaż crypto.news odnotował, że około 447 milionów tokenów H zostało dotkniętych na Ethereum i BNB Smart Chain. Choć token później odrobił część strat, cena Humanity Protocol (H) nadal oscylowała w okolicach 0,214 dolarów 13 czerwca, wzrastając o około 20% w ciągu poprzednich 24 godzin, ale spadając o około 74% w ciągu ostatniego tygodnia.

Niezależni śledczy blockchain również zbadali incydent. Analizy opublikowane przez Lookonchain i pseudonimowego badacza on-chain ZachXBT wskazały na kompromitację klucza prywatnego związaną ze złośliwym oprogramowaniem jako główną przyczynę naruszenia. Choć ich ustalenia potwierdziły ścieżkę ataku opisaną przez Humanity Protocol, przypisanie odpowiedzialności podmiotom sponsorowanym przez państwo pozostało tematem dyskusji wśród niektórych badaczy.

Ocena Quantstamp stawia Humanity Protocol wśród kilku projektów kryptowalutowych rzekomo atakowanych przez grupy powiązane z Koreą Północną w ostatnich latach. Według firmy bezpieczeństwa atak pokazuje, w jaki sposób jedno skompromitowane urządzenie może narazić na ryzyko infrastrukturę o wysokiej wartości, gdy wrażliwe dane uwierzytelniające nie są prawidłowo odizolowane od środowisk produkcyjnych.