Quantstamp Liên Kết Vụ Hack 36 Triệu Đô La Của Humanity Protocol Với Các Tác Nhân Bị Nghi Ngờ Từ Triều Tiên

Công ty bảo mật blockchain Quantstamp cho biết một Email giả mạo và một laptop bị xâm phạm là các bước then chốt trong vụ việc Humanity Protocol gần đây, dẫn đến vụ trộm token Humanity (H) trị giá 36 triệu đô la. Cuộc điều tra của công ty chỉ ra hoạt động đe dọa liên quan đến Triều Tiên, dẫn các chỉ số kỹ thuật như chứng chỉ kỹ thuật số Hàn Quốc và hành vi phần mềm độc hại nhất quán với các mẫu xâm nhập của CHDCND Triều Tiên.

Quantstamp cho biết những kẻ tấn công đã sử dụng một tệp đính kèm độc hại được ngụy trang thành bản cập nhật lịch khóa token được cho là liên quan đến Bithumb, một trong những sàn giao dịch tiền mã hoá lớn của Hàn Quốc. Sau khi tệp được gửi đến một nhân viên, phần mềm độc hại tự cài đặt và cấp cho những kẻ tấn công quyền truy cập từ xa hoàn toàn—cho phép chúng tiếp cận tài liệu ví nhạy cảm được sử dụng trong hoạt động của giao thức.

Những điểm chính

• Quantstamp quy kết sự cố xâm phạm Humanity Protocol là do một tệp đính kèm giả mạo đã cho phép truy cập từ xa hoàn toàn vào laptop của nhân viên bị xâm phạm.
• Phần mềm độc hại được cho là đã được ký bằng chứng chỉ kỹ thuật số Hancom liên quan đến các mẫu xâm nhập tương tự CHDCND Triều Tiên.
• Những kẻ tấn công đã có thể trích xuất thông tin xác thực ví, bao gồm dữ liệu ví MetaMask và khóa riêng tư, từ một giám đốc của Humanity Protocol.
• Các công ty bảo mật tiếp tục liên kết các tác nhân liên quan đến Triều Tiên với một phần đáng kể các tổn thất từ vụ trộm tiền mã hoá trong những năm gần đây và năm 2025.
• Các phát hiện của Quantstamp bổ sung thêm vào một xu hướng ngày càng tăng trong đó kỹ thuật tấn công phi kỹ thuật có chủ đích được sử dụng để tiếp cận các cá nhân bên trong các dự án tiền mã hoá.

Tệp đính kèm giả mạo trở thành điểm truy cập

Trong quá trình ứng phó sự cố, Quantstamp cho biết những kẻ tấn công Humanity Protocol đã có được đòn bẩy thông qua laptop của một nhân viên bị xâm phạm. Phương thức, theo công ty, là một Email giả mạo với tệp đính kèm độc hại giả mạo một bản cập nhật liên quan đến token.

Tệp đính kèm được ngụy trang thành bản cập nhật lịch khóa token có vẻ đến từ Bithumb. Sau khi mở, payload đã cài đặt phần mềm độc hại mà Quantstamp cho biết đã cấp cho những kẻ tấn công quyền truy cập từ xa hoàn toàn vào thiết bị.

Điều này quan trọng vì nó chuyển sự cố từ một câu chuyện khai thác thuần túy trên chuỗi sang một câu chuyện rủi ro cơ sở hạ tầng con người hơn: cơ chế vi phạm trực tiếp dựa vào việc xâm phạm người dùng cuối chứ không phải lỗ hổng trực tiếp trong mã hợp đồng thông minh.

Trộm thông tin xác thực ví và vai trò của truy cập từ xa

Quantstamp cho biết thêm rằng khả năng của phần mềm độc hại đã mở rộng ra ngoài việc kiểm soát chung laptop. Công ty cho biết những kẻ tấn công đã sử dụng quyền truy cập để sao chép thông tin xác thực ví MetaMask và khóa riêng tư của giám đốc Humanity Protocol Chong Yee Wai.

Quy trình đó—đánh cắp tài liệu ví sau khi xâm phạm từ xa—có thể tạo điều kiện cho việc di chuyển tiền nhanh chóng. Nó cũng làm nổi bật lý do tại sao các sự cố tiền mã hoá thường phụ thuộc vào các biện pháp kiểm soát bảo mật đầu cuối, chẳng hạn như xác thực chống giả mạo và các quy trình xử lý khóa mạnh mẽ, thay vì chỉ các biện pháp phòng thủ ở cấp hợp đồng.

Các tín hiệu kỹ thuật Quantstamp liên kết với các vụ xâm nhập của CHDCND Triều Tiên

Ngoài việc giả mạo và truy cập từ xa, Quantstamp đã chỉ ra một chi tiết kỹ thuật mà họ mô tả là "đặc trưng của các vụ xâm nhập CHDCND Triều Tiên." Công ty cho biết phần mềm độc hại được ký bằng chứng chỉ kỹ thuật số Hancom của Hàn Quốc.

Việc quy trách nhiệm của Quantstamp nhất quán với cách nhiều báo cáo mối đe dọa được xây dựng trong các cuộc điều tra mạng: trong khi việc quy trách nhiệm chính xác hiếm khi được xác nhận công khai, các nhà phân tích thường sử dụng kết hợp các công cụ, hành vi ký và các mẫu hoạt động. Trong trường hợp này, sự hiện diện của một chứng chỉ ký cụ thể và hành vi phần mềm độc hại được quan sát được trình bày như các chỉ số tương quan.

Điều này phù hợp như thế nào với một mẫu rộng hơn của vụ trộm tiền mã hoá liên quan đến Triều Tiên

Mối liên hệ đáng ngờ với Triều Tiên không xuất hiện đơn lẻ. Báo cáo của Quantstamp được đặt trong bối cảnh các vụ trộm tiền mã hoá lớn mà nhiều đánh giá bảo mật đã quy cho các nhóm liên quan đến Triều Tiên.

Cointelegraph trước đây đã đưa tin rằng các tác nhân đe dọa liên quan đến Triều Tiên đã được gắn kết với ít nhất 578 triệu đô la trong số 634 triệu đô la bị đánh cắp trong các sự cố liên quan đến tiền mã hoá vào tháng 4, tham chiếu một phân tích trước đó.

Riêng biệt, một báo cáo tháng 5 của công ty bảo mật blockchain CertiK cho biết các tác nhân tương tự đã được liên kết với khoảng 2 tỷ đô la trong số 3,4 tỷ đô la bị mất do khai thác tiền mã hoá vào năm 2025, trong khi chiếm 12% tổng số sự cố. CertiK mô tả các hoạt động là phản ánh "độ chính xác và quy mô," nhấn mạnh rằng trọng tâm không chỉ là khối lượng mà còn là thực thi hiệu quả.

Nhìn vào các khung thời gian dài hơn, một báo cáo được trích dẫn trong bài báo cho biết trong thập kỷ qua, các tác nhân liên quan đến Triều Tiên đã đánh cắp ước tính 6,75 tỷ đô la tiền mã hoá trong 263 sự cố được ghi lại. CertiK cũng cho biết Triều Tiên đã "công nghiệp hóa" việc trộm cắp tiền mã hoá như một cơ chế doanh thu nhà nước cốt lõi, định vị hoạt động này như một thành phần có ý nghĩa của thu nhập bên ngoài.

Phủ nhận từ Triều Tiên và lý do tại sao việc quy trách nhiệm vẫn còn gây tranh cãi

Triều Tiên thường không trả lời trực tiếp các cáo buộc tội phạm mạng. Tuy nhiên, bài báo lưu ý rằng vào ngày 3 tháng 5, một người phát ngôn Bộ Ngoại giao đã bác bỏ các tuyên bố về sự tham gia vào các vụ hack tiền mã hoá trong một tuyên bố được đưa tin bởi Hãng thông tấn Trung ương Triều Tiên.

Trong phản hồi đó, người phát ngôn lập luận rằng Mỹ đang lan truyền các câu chuyện "không chính xác" về một "'mối đe dọa mạng' không tồn tại" từ Triều Tiên, theo báo cáo được tham chiếu trong bài báo.

Đối với các nhà đầu tư và nhà điều hành, điểm mấu chốt không phải là coi các tuyên bố quy trách nhiệm là sự chắc chắn ở cấp độ tòa án, mà là nhận ra rằng các mẫu đằng sau các sự cố này—đặc biệt là xâm phạm đầu cuối và trộm cắp thông tin xác thực—có thể hành động được bất kể các cuộc tranh luận về quy trách nhiệm. Ngay cả khi sự tham gia của nhà nước bị tranh chấp, các biện pháp phòng thủ thực tế vẫn tương tự: củng cố quyền truy cập vào các hệ thống nhân sự, giảm thiểu tiếp xúc với phần mềm độc hại thu thập thông tin xác thực và đảm bảo các kế hoạch phục hồi và ứng phó sự cố giả định rằng kỹ thuật tấn công phi kỹ thuật có thể thành công.

Tiến về phía trước, những điều chính mà độc giả nên theo dõi là các cập nhật tiếp theo từ Humanity Protocol và các giám sát bảo mật về việc liệu các ví bổ sung hoặc cơ sở hạ tầng liên quan có bị nhắm mục tiêu hay không, cùng với hướng dẫn công cụ rộng hơn từ Quantstamp và các nhà phân tích khác về việc ngăn chặn các vụ chiếm quyền đầu cuối do giả mạo dẫn đầu.

Bài báo này ban đầu được xuất bản với tên Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors trên Crypto Breaking News – nguồn tin cậy của bạn về tin tức tiền mã hoá, tin tức Bitcoin và các cập nhật blockchain.