Расследование Quantstamp связывает взлом Humanity Protocol с участниками из КНДР, перемещено 141M H

Кража 141 миллиона токенов H из Humanity Protocol, произошедшая 8 июня, началась не с эксплойта кода, а со взлома личного устройства — классический признак северокорейских кибератак. В новом отчёте Quantstamp, полученном WuBlockchain, описывается, как злоумышленники использовали фишинг-атаку для получения удалённого доступа к устройству директора, после чего скопировали данные кошелька и приватные ключи. Инцидент обнажает человеческий фактор как самое слабое звено даже в хорошо финансируемых Web3-проектах.

Проникнув внутрь, злоумышленники провели параллельные операции на двух отдельных цепях. В сети Ethereum они обновили смарт-контракт токена H и вывели приблизительно 141,18 миллиона токенов H из-под контроля протокола. В сети BNB Smart Chain они захватили контроль над контрактом ProxyAdmin и использовали его для выпуска дополнительных токенов H. Манёвр с двумя цепями свидетельствует о подготовке, которая предшествовала фишинговой точке входа, и указывает на группу с глубокими ресурсами в области блокчейн-инжиниринга.

Классическое вторжение в стиле КНДР

Quantstamp выявил инструментарий и паттерны подписи сертификатов, наблюдавшиеся в ходе атаки, как характерные для вторжений, связанных с Корейской Народно-Демократической Республикой (КНДР). Поддерживаемые государством группировки, такие как Lazarus, годами совершенствуют техники, сочетающие фишинг, социальную инженерию и скрытое он-чейн отмывание средств. Использование вредоносных документов или приманок для компрометации высокоценной цели с последующей быстрой реконфигурацией контракта повторяет операции, прослеженные до Пхеньяна против других DeFi-проектов.

Отличительная черта данного инцидента — уверенность злоумышленников при одновременном перемещении между Ethereum и BNB Smart Chain. Многие инструменты мониторинга на основе бирж по-прежнему рассматривают активность в каждой цепи изолированно, создавая слепое пятно, которым пользуются государственные акторы. Возможность выпускать новые токены в отдельной сети после опустошения основного контракта увеличивает общий объём похищенного и одновременно осложняет усилия правоохранительных органов по его возврату.

Куда могут переместиться похищенные токены

Масштабные кражи криптовалюты со стороны КНДР исторически направляют средства через децентрализованные биржи, кросс-чейн-мосты и миксеры, прежде чем они оседают на нерегулируемых офшорных биржах. Вероятно, 141 миллион токенов H последует тем же путём, хотя отчёт Quantstamp не детализирует движения средств после кражи. Учитывая объём, любая попытка обналичить средства столкнётся с ограничениями ликвидности, однако медленное и терпеливое отмывание — известная тактика КНДР. Компании по блокчейн-аналитике и централизованные биржи, активно вносящие помеченные адреса в чёрные списки, могут частично снизить ущерб, однако взаимозаменяемость на DEX по-прежнему остаётся проблемой.

Время атаки совпадает с уже напряжённой неделей для крипто-безопасности. Несколько протоколов столкнулись с эксплойтами мостов, а регуляторы продолжают ссылаться на провалы в защите пользователей как на обоснование для более строгого надзора. Инцидент с Humanity Protocol происходит на фоне того, как банковские лоббисты добиваются отклонения крупного законопроекта о криптовалюте в США — шаг, который может оставить защиту потребителей в законодательном подвешенном состоянии на несколько месяцев.

Что это означает для институционального доверия

Протоколы, позиционирующие себя как ориентированные на идентификацию или гуманистические ценности, получают особый репутационный удар, когда одна фишинговая ссылка влечёт за собой девятизначные потери. Нарушение, по всей видимости, не связано с уязвимостью в логике смарт-контракта токена H — поверхностью атаки стала операционная безопасность ключевого персонала. Это различие важно для институций, рассматривающих интеграцию подобных протоколов. Отчёт об аудите кода может показать чистые результаты, однако всё развёртывание всё равно может быть сведено на нет слабой политикой безопасности устройств.

Открытые вопросы остаются. Humanity Protocol ещё не раскрыл, были ли заморожены какие-либо из похищенных токенов и ведётся ли план восстановления с участием правоохранительных органов. Атрибуция Quantstamp в адрес КНДР, будучи детальной в части инструментария, не раскрывает конкретные адреса кошельков в публичной версии результатов. Без он-чейн атрибуции, доступной сообществу, биржи и надзорные органы могут медлить с действиями. Ближайшие несколько дней покажут, сможет ли протокол ограничить ущерб и скоординируют ли биржи как в Ethereum, так и в BNB Smart Chain единый ответ. Пока что рынок остаётся с 141 миллионом токенов H в руках поддерживаемых государством злоумышленников — напоминание о том, что самые дорогостоящие взломы по-прежнему нередко начинаются с одного клика.