Quantstamp-onderzoek koppelt Humanity Protocol-hack aan DPRK-actoren, 141M H verplaatst

De diefstal van 141 miljoen H-tokens van Humanity Protocol op 8 juni begon niet met een code-exploit, maar met een gecompromitteerd persoonlijk apparaat — een klassiek kenmerk van Noord-Koreaanse cybercampagnes. Een nieuw rapport van Quantstamp, verkregen door WuBlockchain, legt uit hoe aanvallers een phishing-aanval gebruikten om op afstand toegang te krijgen tot de machine van een directeur, en vervolgens walletgegevens en privésleutels kopieerden. Het incident onthult het menselijke eindpunt als de zwakste schakel, zelfs in goed gefinancierde Web3-projecten.

Eenmaal binnen voerden de aanvallers parallelle operaties uit op twee afzonderlijke ketens. Op Ethereum upgraden ze het H-tokencontract en verplaatsten ze ongeveer 141,18 miljoen H-tokens buiten de controle van het protocol. Op BNB Smart Chain namen ze de controle over een ProxyAdmin-contract en gebruikten dit om extra H-tokens te minten. De dual-chain manoeuvre wijst op voorbereiding die voorafging aan het phishing-toegangspunt en duidt op een groep met diepgaande blockchain-engineeringbronnen.

Een schoolboekvoorbeeld van een DPRK-inbraak

Quantstamp markeerde de tooling en certificaatondertekeningspatronen die bij de aanval werden waargenomen als kenmerkend voor inbraken die verband houden met de Democratische Volksrepubliek Korea (DPRK). Door de staat gesteunde groepen zoals Lazarus hebben jaren besteed aan het verfijnen van technieken die phishing, social engineering en ontwijkende on-chain witwaspraktijken combineren. Het gebruik van bewapende documenten of lokmiddelen om een hoogwaardige doelwit te compromitteren, gevolgd door snelle herconfiguratatie van contracten, weerspiegelt operaties die zijn terug te voeren op Pyongyang tegen andere DeFi-projecten.

Wat dit incident onderscheidt, is het gemak waarmee de aanvaller tegelijkertijd tussen Ethereum en BNB Smart Chain beweegt. Veel op beurzen gebaseerde monitoringtools behandelen ketinactiviteit nog steeds afzonderlijk, waardoor een blinde vlek ontstaat die staatsactoren uitbuiten. De mogelijkheid om nieuwe tokens te minten op een apart netwerk na het leeghalen van het hoofdcontract vergroot de totale buit en bemoeilijkt de herstelwerkzaamheden voor rechtshandhaving.

Waar de gestolen tokens mogelijk terechtkomen

Grootschalige DPRK-cryptodiefstallen leiden historisch gezien fondsen via gedecentraliseerde beurzen, cross-chain bridges en mixers voordat ze terechtkomen bij ongereguleerde offshore-beurzen. De 141 miljoen H-tokens zullen waarschijnlijk hetzelfde pad volgen, hoewel het Quantstamp-rapport geen details geeft over bewegingen na de diefstal. Gezien het volume zal elke poging tot uitbetaling stuiten op liquiditeitsbeperkingen, maar langzaam en geduldig witwassen is een bekende DPRK-tactiek. Blockchain-inlichtingenbedrijven en gecentraliseerde beurzen die actief gemarkeerde adressen op de zwarte lijst zetten, kunnen de impact gedeeltelijk verzachten, maar fungibiliteit op DEX's blijft een uitdaging.

Het tijdstip van de aanval valt samen met een toch al gespannen week voor cryptobeveiliging. Meerdere protocollen werden geconfronteerd met bridge-exploits en toezichthouders blijven mislukkingen op het gebied van gebruikersbescherming aanvoeren als rechtvaardiging voor strenger toezicht. Het Humanity Protocol-incident speelt zich af terwijl banklobbyisten proberen een grote Amerikaanse cryptowet te doden, een stap die consumentenbescherming maandenlang in een wetgevend niemandsland kan achterlaten.

Wat dit betekent voor institutioneel vertrouwen

Protocollen die zichzelf op de markt brengen als identiteits- of menselijkheidsgericht, krijgen een bijzonder grote reputatieschade wanneer één enkele phishing-link een verlies van negen cijfers veroorzaakt. De inbreuk lijkt geen betrekking te hebben op een fout in de smart contract-logica van de H-token — het aanvalsoppervlak was de operationele beveiliging van sleutelpersoneel. Dit onderscheid is belangrijk voor instellingen die afwegen of ze dergelijke protocollen willen integreren. Een codeauditrapport kan schone resultaten laten zien, maar de volledige implementatie kan toch nog ongedaan worden gemaakt door een zwak beveiligingsbeleid voor apparaten.

Er blijven open vragen. Humanity Protocol heeft nog niet bekendgemaakt of gestolen tokens zijn bevroren of dat er een herstelplan met betrokkenheid van rechtshandhaving in gang is. De toeschrijving door Quantstamp aan de DPRK, hoewel gedetailleerd wat betreft tooling, geeft geen specifieke walletadressen vrij in de publieke versie van de bevindingen. Zonder on-chain toeschrijving die toegankelijk is voor de gemeenschap, kunnen beurzen en waakhonden aarzelen om te handelen. De komende dagen zullen uitwijzen of het protocol de schade kan beperken en of beurzen op zowel Ethereum als BNB Smart Chain een gezamenlijke reactie coördineren. Voorlopig blijft de markt achter met 141 miljoen H-tokens in handen van door de staat gesteunde dieven, een herinnering dat de duurste hacks nog steeds vaak beginnen met één enkele klik.