Quantstamp Mengaitkan Peretasan $36 Juta Humanity Protocol dengan Aktor NK yang Dicurigai

Perusahaan keamanan blockchain Quantstamp menyatakan bahwa email phishing dan laptop yang dikompromikan merupakan langkah kunci dalam insiden Humanity Protocol baru-baru ini yang mengakibatkan pencurian token Humanity (H) senilai $36 juta. Investigasi perusahaan tersebut mengarah pada aktivitas ancaman yang terkait dengan Korea Utara, dengan mengutip indikator teknis seperti sertifikat digital Korea Selatan dan perilaku malware yang konsisten dengan pola intrusi DPRK.

Quantstamp melaporkan bahwa para penyerang menggunakan lampiran berbahaya yang disamarkan sebagai pembaruan jadwal lockup token yang diduga terhubung dengan Bithumb, salah satu bursa cryptocurrency besar di Korea Selatan. Setelah file tersebut dikirimkan kepada seorang staf, malware menginstal dirinya sendiri dan memberikan akses jarak jauh penuh kepada para penyerang—memungkinkan mereka untuk mengakses materi dompet sensitif yang digunakan dalam operasi protokol tersebut.

Poin-poin utama

• Quantstamp mengaitkan kompromi Humanity Protocol dengan lampiran phishing yang memungkinkan akses jarak jauh penuh ke laptop karyawan yang dikompromikan.
• Malware tersebut dilaporkan telah ditandatangani dengan sertifikat digital Hancom yang terkait dengan pola intrusi mirip DPRK.
• Para penyerang berhasil mengekstrak kredensial dompet, termasuk data dompet MetaMask dan kunci privat, dari seorang direktur Humanity Protocol.
• Perusahaan keamanan terus mengaitkan aktor yang terhubung dengan Korea Utara dengan sebagian besar kerugian pencurian kripto dalam beberapa tahun terakhir dan 2025.
• Temuan Quantstamp menambah pola yang berkembang di mana rekayasa sosial yang ditargetkan digunakan untuk menjangkau individu di dalam proyek kripto.

Lampiran phishing menjadi titik akses

Dalam respons insiden yang dilakukannya, Quantstamp menyatakan bahwa para penyerang Humanity Protocol mendapatkan keuntungan melalui laptop karyawan yang dikompromikan. Metodenya, menurut perusahaan tersebut, adalah email phishing dengan lampiran berbahaya yang berpura-pura sebagai pembaruan terkait token.

Lampiran tersebut disamarkan sebagai pembaruan jadwal lockup token dari Bithumb. Setelah dibuka, payload menginstal malware yang menurut Quantstamp memberikan akses jarak jauh penuh kepada para penyerang ke perangkat tersebut.

Hal ini penting karena menggeser insiden dari narasi eksploit on-chain semata ke narasi risiko infrastruktur manusia yang lebih luas: mekanisme pelanggaran langsung bergantung pada kompromi pengguna akhir daripada kerentanan langsung dalam kode kontrak pintar.

Pencurian kredensial dompet dan peran akses jarak jauh

Quantstamp menambahkan bahwa kemampuan malware tersebut melampaui kontrol umum laptop. Perusahaan mengatakan para penyerang menggunakan akses tersebut untuk menyalin kredensial dompet MetaMask dan kunci privat milik direktur Humanity Protocol, Chong Yee Wai.

Alur kerja tersebut—mencuri materi dompet setelah kompromi jarak jauh—dapat memungkinkan pergerakan dana yang cepat. Hal ini juga menyoroti mengapa insiden kripto sering bergantung pada kontrol keamanan endpoint, seperti autentikasi tahan phishing dan prosedur penanganan kunci yang kuat, daripada hanya pertahanan di tingkat kontrak.

Sinyal teknis yang dikaitkan Quantstamp dengan intrusi DPRK

Selain phishing dan akses jarak jauh, Quantstamp menunjukkan detail teknis yang digambarkannya sebagai "ciri khas intrusi DPRK." Perusahaan tersebut menyatakan bahwa malware ditandatangani dengan sertifikat digital Hancom Korea Selatan.

Atribusi Quantstamp konsisten dengan bagaimana banyak laporan ancaman dibangun dalam investigasi siber: meskipun atribusi yang tepat jarang dikonfirmasi secara publik, analis sering menggunakan kombinasi alat, perilaku penandatanganan, dan pola operasional. Dalam kasus ini, keberadaan sertifikat penandatanganan tertentu dan perilaku malware yang diamati disajikan sebagai indikator yang berkorelasi.

Bagaimana ini sesuai dengan pola pencurian kripto yang lebih luas terkait Korea Utara

Dugaan keterkaitan Korea Utara tidak muncul secara terisolasi. Laporan Quantstamp dibingkai dalam konteks pencurian kripto besar yang telah dikaitkan oleh berbagai penilaian keamanan dengan kelompok-kelompok yang terhubung dengan Korea Utara.

Cointelegraph sebelumnya melaporkan bahwa aktor ancaman yang terhubung dengan Korea Utara dikaitkan dengan setidaknya $578 juta dari $634 juta yang dicuri dalam insiden terkait kripto pada bulan April, merujuk pada analisis sebelumnya.

Secara terpisah, laporan bulan Mei oleh perusahaan keamanan blockchain CertiK menyatakan bahwa aktor yang sama telah dikaitkan dengan sekitar $2 miliar dari $3,4 miliar yang hilang akibat eksploit kripto pada tahun 2025, sementara menyumbang 12% dari total insiden. CertiK mengkarakterisasi operasi tersebut sebagai mencerminkan "presisi dan skala," menekankan bahwa fokusnya bukan hanya volume tetapi juga pelaksanaan yang efektif.

Melihat cakrawala waktu yang lebih panjang, sebuah laporan yang dikutip dalam artikel menyatakan bahwa selama satu dekade terakhir, aktor yang terhubung dengan Korea Utara mencuri perkiraan $6,75 miliar dalam cryptocurrency di 263 insiden yang terdokumentasi. CertiK juga menyatakan bahwa Korea Utara telah "mengindustrialisasi" pencurian kripto sebagai mekanisme pendapatan negara inti, menempatkan aktivitas tersebut sebagai komponen pendapatan eksternal yang berarti.

Penolakan dari Korea Utara, dan mengapa atribusi tetap kontroversial

Korea Utara biasanya tidak merespons langsung tuduhan kejahatan siber. Namun, artikel tersebut mencatat bahwa pada 3 Mei, seorang juru bicara Kementerian Luar Negeri menolak klaim keterlibatan dalam peretasan kripto dalam sebuah pernyataan yang dibawa oleh Kantor Berita Pusat Korea.

Dalam tanggapan tersebut, juru bicara tersebut berpendapat bahwa AS menyebarkan narasi "tidak benar" tentang "'ancaman siber' yang tidak ada" dari Korea Utara, menurut laporan yang dirujuk dalam artikel tersebut.

Bagi investor dan operator, poin utama yang perlu diambil adalah tidak memperlakukan klaim atribusi sebagai kepastian tingkat pengadilan, tetapi mengenali bahwa pola di balik insiden-insiden ini—terutama kompromi endpoint dan pencurian kredensial—dapat ditindaklanjuti terlepas dari perdebatan atribusi. Bahkan ketika keterlibatan negara diperdebatkan, pertahanan praktis tetap serupa: perkuat akses ke sistem personel, kurangi paparan terhadap malware pemanen kredensial, dan pastikan rencana pemulihan dan respons insiden mengasumsikan bahwa rekayasa sosial dapat berhasil.

Ke depannya, hal utama yang harus diperhatikan pembaca adalah pembaruan lanjutan dari Humanity Protocol dan monitor keamanan mengenai apakah dompet tambahan atau infrastruktur terkait menjadi target, bersama dengan panduan alat yang lebih luas dari Quantstamp dan analis lain tentang pencegahan pengambilalihan endpoint yang dipimpin phishing.

Artikel ini awalnya diterbitkan sebagai Quantstamp Links Humanity Protocol's $36M Hack to Suspected NK Actors di Crypto Breaking News – sumber tepercaya Anda untuk berita kripto, berita Bitcoin, dan pembaruan blockchain.