Der Diebstahl von 141 Millionen H-Tokens vom Humanity Protocol am 8. Juni begann nicht mit einem Code-Exploit, sondern mit einem kompromittierten Einzelgerät – ein klassisches Kennzeichen nordkoreanischer Cyberkampagnen. Ein neuer Bericht von Quantstamp, erhalten von WuBlockchainlegt dar, wie Angreifer einen Phishing-Angriff nutzten, um sich Fernzugriff auf den Computer eines Direktors zu verschaffen und dann Wallet-Daten und private Schlüssel kopierten. Der Vorfall entlarvt den menschlichen Endpunkt selbst in gut finanzierten Web3-Projekten als das schwächste Glied.
Im Inneren führten die Angreifer parallele Operationen an zwei separaten Ketten durch. Auf Ethereum haben sie den H-Token-Vertrag aktualisiert und etwa 141,18 Millionen H-Tokens der Kontrolle des Protokolls entzogen. An BNB Smart Chainübernahmen sie die Kontrolle über einen ProxyAdmin-Vertrag und nutzten ihn, um zusätzliche H-Tokens zu prägen. Das Dual-Chain-Manöver deutet auf eine Vorbereitung hin, die vor dem Phishing-Einstiegspunkt lag, und weist auf eine Gruppe mit umfassenden Blockchain-Engineering-Ressourcen hin.
Ein Einbruch in die DVRK wie aus dem Lehrbuch
Quantstamp bezeichnete die bei dem Angriff beobachteten Werkzeug- und Zertifikatssignaturmuster als charakteristisch für Einbrüche im Zusammenhang mit der Demokratischen Volksrepublik Korea (DVRK). Staatlich unterstützte Gruppen wie Lazarus haben Jahre damit verbracht, Techniken zu verfeinern, die Phishing, Social Engineering und ausweichende Geldwäsche in der Kette kombinieren. Der Einsatz von Waffendokumenten oder Ködern zur Kompromittierung eines hochwertigen Ziels und die anschließende schnelle Neukonfigurierung von Verträgen spiegeln Operationen wider, die auf Pjöngjang zurückgeführt werden und gegen andere DeFi-Projekte gerichtet sind.
Das Besondere an diesem Vorfall ist die Leichtigkeit des Angreifers, gleichzeitig zwischen Ethereum und BNB Smart Chain zu wechseln. Viele börsenbasierte Überwachungstools behandeln die Kettenaktivitäten immer noch isoliert und schaffen so einen blinden Fleck, den staatliche Akteure ausnutzen. Die Möglichkeit, nach Ablauf des Hauptvertrags neue Token in einem separaten Netzwerk zu prägen, erhöht die Gesamtmenge und erschwert gleichzeitig die Wiederherstellungsbemühungen für die Strafverfolgungsbehörden.
Wo die gestohlenen Token landen könnten
Bei groß angelegten Kryptowährungsdiebstählen in der Demokratischen Volksrepublik Korea werden Gelder in der Vergangenheit über dezentrale Börsen, Cross-Chain-Brücken und Mischer geleitet, bevor sie an unregulierten Offshore-Börsen abgewickelt werden. Die 141 Millionen H-Token werden wahrscheinlich diesen Weg einschlagen, obwohl der Quantstamp-Bericht die Bewegungen nach dem Diebstahl nicht detailliert beschreibt. Angesichts des Volumens stößt jeder Auszahlungsversuch auf Liquiditätsengpässe, aber langsames, geduldiges Waschen ist eine bekannte Taktik der DVRK. Blockchain-Intelligence-Firmen und zentralisierte Börsen, die markierte Adressen aktiv auf die schwarze Liste setzen, können die Auswirkungen teilweise abmildern, aber die Fungibilität von DEXs bleibt eine Herausforderung.
Der Zeitpunkt des Angriffs fällt mit einer ohnehin schon angespannten Woche für die Kryptosicherheit zusammen. Mehrere Protokolle waren mit Bridge-Exploits konfrontiert, und die Regulierungsbehörden führen weiterhin Versäumnisse beim Benutzerschutz als Rechtfertigung für eine strengere Aufsicht an. Der Vorfall mit dem Humanity Protocol landet als Bankenlobbyisten drängen darauf, ein großes US-Kryptogesetz zu vernichtenein Schritt, der den Verbraucherschutz monatelang in der Schwebe halten könnte.
Was dies für das institutionelle Vertrauen bedeutet
Protokolle, die sich als identitäts- oder menschheitsorientiert vermarkten, sind einem besonderen Reputationsschaden ausgesetzt, wenn ein einzelner Phishing-Link einen Verlust im neunstelligen Bereich auslöst. Der Verstoß scheint keinen Fehler in der Smart-Contract-Logik des H-Tokens zu beinhalten – die Angriffsfläche war die betriebliche Sicherheit von Schlüsselpersonal. Diese Unterscheidung ist für Institutionen von Bedeutung, die abwägen, ob solche Protokolle integriert werden sollen. Ein Code-Audit-Bericht zeigt möglicherweise saubere Ergebnisse, dennoch kann die gesamte Bereitstellung durch eine schwache Gerätesicherheitsrichtlinie rückgängig gemacht werden.
Es bleiben offene Fragen. Humanity Protocol hat noch nicht bekannt gegeben, ob einer der gestohlenen Token eingefroren wurde oder ob ein Wiederherstellungsplan unter Einbeziehung der Strafverfolgungsbehörden im Gange ist. Quantstamps Zuschreibung an die Demokratische Volksrepublik Korea geht zwar detailliert auf die Werkzeuge ein, gibt jedoch in der öffentlichen Version der Ergebnisse keine spezifischen Wallet-Adressen bekannt. Ohne für die Community zugängliche On-Chain-Attribution könnten Börsen und Aufsichtsbehörden zögern, zu handeln. Die nächsten Tage werden zeigen, ob das Protokoll den Schaden begrenzen kann und ob die Börsen sowohl auf Ethereum als auch auf der BNB Smart Chain eine einheitliche Reaktion koordinieren. Derzeit befinden sich auf dem Markt noch 141 Millionen H-Tokens in den Händen staatlich unterstützter Diebe, was daran erinnert, dass die teuersten Hacks immer noch oft mit einem einzigen Klick beginnen.
