Quantstamp vincula el hackeo de $36M del Protocolo Humanity con presuntos actores de NK

La firma de seguridad blockchain Quantstamp afirma que un correo de Phishing y un portátil comprometido fueron pasos clave en el reciente incidente de Humanity Protocol que resultó en el robo de tokens Humanity (H) por valor de 36 millones de dólares. La investigación de la compañía apunta a actividad de amenazas vinculadas a Corea del Norte, citando indicadores técnicos como un certificado digital surcoreano y un comportamiento de malware consistente con los patrones de intrusión de Corea del Norte (DPRK).

Quantstamp informa que los atacantes utilizaron un archivo adjunto malicioso disfrazado de actualización del calendario de bloqueo de tokens supuestamente conectado a Bithumb, uno de los principales exchanges de criptomonedas de Corea del Sur. Tras entregar el archivo a un empleado, el malware se instaló y proporcionó a los atacantes acceso remoto completo, permitiéndoles acceder al material sensible de la billetera utilizado en las operaciones del protocolo.

Puntos clave

• Quantstamp atribuye el compromiso de Humanity Protocol a un archivo adjunto de Phishing que habilitó el acceso remoto completo al portátil comprometido de un empleado.
• Se informa que el malware fue firmado con un certificado digital de Hancom asociado a patrones de intrusión similares a los de DPRK.
• Los atacantes pudieron extraer credenciales de billetera, incluidos los datos de la billetera MetaMask y las claves privadas, de un director de Humanity Protocol.
• Las firmas de seguridad continúan vinculando a actores relacionados con Corea del Norte con una parte sustancial de las pérdidas por robo de criptos en los últimos años y en 2025.
• Los hallazgos de Quantstamp se suman a un patrón creciente en el que la ingeniería social dirigida se utiliza para llegar a personas dentro de proyectos cripto.

El archivo adjunto de Phishing se convierte en el punto de acceso

En su respuesta al incidente, Quantstamp señaló que los atacantes de Humanity Protocol obtuvieron ventaja a través del portátil comprometido de un empleado. El método, según la firma, fue un correo de Phishing con un archivo adjunto malicioso que se hacía pasar por una actualización relacionada con tokens.

El archivo adjunto estaba disfrazado como lo que parecía ser una actualización del calendario de bloqueo de tokens de Bithumb. Una vez abierto, el payload instaló un malware que, según Quantstamp, otorgó a los atacantes acceso remoto completo al dispositivo.

Esto es importante porque desplaza el incidente de una narrativa de exploit puramente on-chain a una narrativa de riesgo de infraestructura humana: el mecanismo de brecha inmediato dependió del compromiso del usuario final en lugar de una vulnerabilidad directa en el código del contrato inteligente.

Robo de credenciales de billetera y el papel del acceso remoto

Quantstamp añadió que las capacidades del malware iban más allá del control general del portátil. La firma señaló que los atacantes utilizaron el acceso para copiar las credenciales de la billetera MetaMask y las claves privadas de Chong Yee Wai, director de Humanity Protocol.

Ese flujo de trabajo —robar material de billetera tras el compromiso remoto— puede permitir el movimiento rápido de fondos. También pone de relieve por qué los incidentes cripto a menudo dependen de los controles de seguridad de endpoints, como la autenticación resistente al Phishing y los procedimientos sólidos de gestión de claves, en lugar de solo las defensas a nivel de contrato.

Señales técnicas que Quantstamp vincula a intrusiones DPRK

Más allá del Phishing y el acceso remoto, Quantstamp señaló un detalle técnico que describió como "característico de las intrusiones DPRK". La firma indicó que el malware fue firmado con un certificado digital surcoreano de Hancom.

La atribución de Quantstamp es consistente con la forma en que muchos informes de amenazas se construyen en investigaciones cibernéticas: aunque la atribución exacta rara vez se confirma públicamente, los analistas suelen usar combinaciones de herramientas, comportamiento de firma y patrones operativos. En este caso, la presencia de un certificado de firma específico y el comportamiento observado del malware se presentan como indicadores correlacionados.

Cómo esto encaja en un patrón más amplio de robo de criptos vinculado a Corea del Norte

El supuesto vínculo con Corea del Norte no aparece de forma aislada. El informe de Quantstamp se enmarca en un contexto de grandes robos de criptos que múltiples evaluaciones de seguridad han atribuido a grupos vinculados a Corea del Norte.

Cointelegraph informó anteriormente que los actores de amenazas vinculados a Corea del Norte estaban relacionados con al menos 578 millones de dólares de los 634 millones robados en incidentes relacionados con criptos en abril, haciendo referencia a un análisis anterior.

Por separado, un informe de mayo de la empresa de seguridad blockchain CertiK señaló que los mismos actores han sido vinculados a aproximadamente 2.000 millones de dólares de los 3.400 millones perdidos en exploits cripto en 2025, representando el 12% del total de incidentes. CertiK caracterizó las operaciones como un reflejo de "precisión y escala", enfatizando que el enfoque no es solo el volumen sino la ejecución efectiva.

Mirando horizontes temporales más amplios, un informe citado en el artículo afirma que en la última década los actores vinculados a Corea del Norte robaron un estimado de 6.750 millones de dólares en criptomonedas en 263 incidentes documentados. CertiK también señaló que Corea del Norte ha "industrializado" el robo de criptos como un mecanismo central de ingresos estatales, posicionando la actividad como un componente significativo de los ingresos externos.

Negación de Corea del Norte, y por qué la atribución sigue siendo controvertida

Corea del Norte generalmente no responde directamente a las acusaciones de ciberdelincuencia. Sin embargo, el artículo señala que el 3 de mayo, un portavoz del Ministerio de Relaciones Exteriores rechazó las afirmaciones de participación en hackeos de criptos en una declaración difundida por la Agencia Central de Noticias de Corea.

En esa respuesta, el portavoz argumentó que Estados Unidos está difundiendo narrativas "incorrectas" sobre una "'amenaza cibernética' inexistente" de Corea del Norte, según el informe referenciado en el artículo.

Para los inversores y operadores, la conclusión clave no es tratar las afirmaciones de atribución como una certeza de grado judicial, sino reconocer que los patrones detrás de estos incidentes —especialmente el compromiso de endpoints y el robo de credenciales— son accionables independientemente de los debates de atribución. Incluso cuando la participación estatal es disputada, las defensas prácticas siguen siendo similares: reforzar el acceso a los sistemas de personal, reducir la exposición al malware de recolección de credenciales y garantizar que los planes de recuperación y respuesta a incidentes asuman que la ingeniería social puede tener éxito.

De cara al futuro, las principales cosas que los lectores deben vigilar son las actualizaciones de seguimiento de Humanity Protocol y los monitores de seguridad sobre si se apuntaron a billeteras adicionales o infraestructura relacionada, junto con una guía más amplia de herramientas de Quantstamp y otros analistas sobre cómo prevenir las tomas de control de endpoints lideradas por Phishing.

Este artículo fue publicado originalmente como Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors en Crypto Breaking News, su fuente de confianza para noticias cripto, noticias de Bitcoin y actualizaciones de blockchain.