کوانت‌استمپ هک ۳۶ میلیون دلاری پروتکل Humanity را به عوامل مشکوک کره شمالی مرتبط می‌داند

شرکت امنیتی بلاک چین Quantstamp اعلام کرد که یک ایمیل فیشینگ و یک لپ‌تاپ به خطر افتاده، مراحل کلیدی در حادثه اخیر Humanity Protocol بودند که منجر به سرقت توکن‌های Humanity (H) به ارزش ۳۶ میلیون دلار شد. تحقیقات این شرکت به فعالیت تهدیدآمیز مرتبط با کره شمالی اشاره دارد و شواهد فنی مانند یک گواهی دیجیتال کره جنوبی و رفتار بدافزاری منطبق با الگوهای نفوذ DPRK را ذکر می‌کند.

Quantstamp گزارش می‌دهد که مهاجمان از یک پیوست مخرب استفاده کردند که به‌عنوان به‌روزرسانی برنامه قفل توکن وابسته به Bithumb، یکی از صرافی‌های اصلی ارز دیجیتال کره جنوبی، مبدل شده بود. پس از ارسال فایل به یک کارمند، بدافزار خود را نصب کرد و دسترسی کامل از راه دور را برای مهاجمان فراهم ساخت و به آن‌ها امکان دسترسی به اطلاعات حساس کیف پول مورد استفاده در عملیات پروتکل را داد.

نکات کلیدی

• Quantstamp به خطر افتادن Humanity Protocol را به یک پیوست فیشینگ نسبت می‌دهد که دسترسی کامل از راه دور به لپ‌تاپ یک کارمند به خطر افتاده را فراهم کرد.
• گزارش شده که بدافزار با گواهی دیجیتال Hancom مرتبط با الگوهای نفوذ مشابه DPRK امضا شده بود.
• مهاجمان توانستند اطلاعات اعتبار کیف پول، از جمله داده‌های کیف پول متامسک و کلیدهای خصوصی، را از یک مدیر Humanity Protocol استخراج کنند.
• شرکت‌های امنیتی همچنان بازیگران مرتبط با کره شمالی را به بخش قابل توجهی از زیان‌های سرقت کریپتو در سال‌های اخیر و ۲۰۲۵ ربط می‌دهند.
• یافته‌های Quantstamp به الگوی رو به رشدی می‌افزاید که در آن از مهندسی اجتماعی هدفمند برای دسترسی به افراد درون پروژه‌های کریپتو استفاده می‌شود.

پیوست فیشینگ به نقطه دسترسی تبدیل می‌شود

در واکنش به این حادثه، Quantstamp اعلام کرد مهاجمان Humanity Protocol از طریق لپ‌تاپ یک کارمند به خطر افتاده دسترسی پیدا کردند. روش مورد استفاده، طبق اعلام این شرکت، یک ایمیل فیشینگ با پیوست مخربی بود که به‌عنوان یک به‌روزرسانی مرتبط با توکن ظاهر شده بود.

پیوست به‌عنوان به‌روزرسانی برنامه قفل توکن از Bithumb مبدل شده بود. پس از باز شدن، بار مخرب بدافزاری را نصب کرد که Quantstamp می‌گوید دسترسی کامل از راه دور به دستگاه را برای مهاجمان فراهم کرد.

این موضوع اهمیت دارد چرا که حادثه را از روایت یک اکسپلویت صرفاً آن‌چین به روایت ریسک زیرساخت انسانی تغییر می‌دهد: مکانیسم فوری نقض به جای آسیب‌پذیری مستقیم در کد قرارداد هوشمند، بر به خطر افتادن کاربر نهایی متکی بود.

سرقت اعتبار کیف پول و نقش دسترسی از راه دور

Quantstamp افزود که قابلیت‌های بدافزار فراتر از کنترل کلی لپ‌تاپ بود. این شرکت گفت مهاجمان از دسترسی برای کپی کردن اطلاعات اعتبار کیف پول متامسک و کلیدهای خصوصی Chong Yee Wai، مدیر Humanity Protocol، استفاده کردند.

این روند—سرقت اطلاعات کیف پول پس از به خطر افتادن از راه دور—می‌تواند جابجایی سریع وجوه را ممکن سازد. همچنین برجسته می‌کند که چرا حوادث کریپتو اغلب به کنترل‌های امنیتی نقطه پایانی بستگی دارند، مانند احراز هویت مقاوم در برابر فیشینگ و رویه‌های قوی مدیریت کلید، نه فقط دفاع‌های سطح قرارداد.

سیگنال‌های فنی که Quantstamp به نفوذهای DPRK ربط می‌دهد

فراتر از فیشینگ و دسترسی از راه دور، Quantstamp به یک جزئیات فنی اشاره کرد که آن را "مشخصه نفوذهای DPRK" توصیف کرد. این شرکت گفت بدافزار با گواهی دیجیتال Hancom کره جنوبی امضا شده بود.

انتساب Quantstamp با نحوه ساخت بسیاری از گزارش‌های تهدید در تحقیقات سایبری همخوانی دارد: در حالی که انتساب دقیق به ندرت به‌صورت عمومی تأیید می‌شود، تحلیلگران اغلب از ترکیبی از ابزارها، رفتار امضا و الگوهای عملیاتی استفاده می‌کنند. در این مورد، وجود یک گواهی امضای خاص و رفتار بدافزار مشاهده‌شده به‌عنوان شواهد همبسته ارائه شده‌اند.

چگونه این موضوع با الگوی گسترده‌تر سرقت کریپتوی مرتبط با کره شمالی تطابق دارد

ارتباط مشکوک کره شمالی به‌صورت منفرد ظاهر نمی‌شود. گزارش Quantstamp در برابر پس‌زمینه‌ای از سرقت‌های بزرگ کریپتو تنظیم شده که ارزیابی‌های امنیتی متعددی آن‌ها را به گروه‌های مرتبط با کره شمالی نسبت داده‌اند.

Cointelegraph پیش‌تر گزارش داد که بازیگران تهدید مرتبط با کره شمالی به حداقل ۵۷۸ میلیون دلار از ۶۳۴ میلیون دلار سرقت شده در حوادث مرتبط با کریپتو در آوریل مرتبط بودند، با ارجاع به تحلیل قبلی‌تر.

جداگانه، گزارش ماه مه شرکت امنیتی بلاک چین CertiK اعلام کرد که همین بازیگران به حدود ۲ میلیارد دلار از ۳.۴ میلیارد دلار زیان ناشی از اکسپلویت‌های کریپتو در ۲۰۲۵ مرتبط بوده‌اند، در حالی که ۱۲٪ از کل حوادث را تشکیل می‌دهند. CertiK عملیات را به عنوان منعکس‌کننده "دقت و مقیاس" توصیف کرد و تأکید کرد که تمرکز نه تنها بر حجم بلکه بر اجرای مؤثر است.

با نگاه به افق‌های زمانی طولانی‌تر، گزارشی که در مقاله به آن اشاره شده اعلام می‌کند که در طول دهه گذشته بازیگران مرتبط با کره شمالی تخمیناً ۶.۷۵ میلیارد دلار ارز دیجیتال را در ۲۶۳ حادثه مستند دزدیده‌اند. CertiK همچنین گفت کره شمالی سرقت کریپتو را به‌عنوان یک مکانیسم اصلی درآمد دولتی "صنعتی" کرده و این فعالیت را به‌عنوان یک بخش معنادار از درآمد خارجی قرار داده است.

انکار از سوی کره شمالی و دلیل اختلاف‌برانگیز ماندن انتساب

کره شمالی معمولاً مستقیماً به اتهامات جرایم سایبری پاسخ نمی‌دهد. اما مقاله خاطرنشان می‌کند که در ۳ مه، سخنگوی وزارت خارجه ادعاهای مشارکت در هک‌های کریپتو را در بیانیه‌ای که توسط آژانس خبری مرکزی کره منتشر شد، رد کرد.

در آن پاسخ، سخنگو استدلال کرد که ایالات متحده روایت‌های "نادرست" درباره یک "تهدید سایبری غیرموجود" از کره شمالی را منتشر می‌کند، طبق گزارش ارجاع‌شده در مقاله.

برای سرمایه‌گذاران و اپراتورها، نکته کلیدی این است که ادعاهای انتساب را به‌عنوان قطعیت درجه دادگاه تلقی نکنند، بلکه بشناسند که الگوهای پشت این حوادث—به‌ویژه به خطر افتادن نقطه پایانی و سرقت اعتبار—صرف‌نظر از مباحثات انتساب قابل اقدام هستند. حتی زمانی که دخالت دولت مورد اختلاف است، دفاع‌های عملی مشابه باقی می‌مانند: دسترسی به سیستم‌های پرسنلی را سخت‌تر کنید، قرار گرفتن در معرض بدافزار برداشت اعتبار را کاهش دهید و اطمینان حاصل کنید که برنامه‌های بازیابی و واکنش به حادثه فرض می‌کنند که مهندسی اجتماعی می‌تواند موفق شود.

در آینده، مهم‌ترین مواردی که خوانندگان باید دنبال کنند، به‌روزرسانی‌های پیگیری از Humanity Protocol و ناظران امنیتی درباره اینکه آیا کیف پول‌های اضافی یا زیرساخت مرتبط هدف قرار گرفته‌اند، همراه با راهنمایی گسترده‌تر ابزار از Quantstamp و سایر تحلیلگران برای جلوگیری از تصاحب نقطه پایانی به رهبری فیشینگ است.

این مقاله در اصل با عنوان Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors در Crypto Breaking News منتشر شد – منبع مورد اعتماد شما برای اخبار کریپتو، اخبار بیت‌کوین و به‌روزرسانی‌های بلاک چین.