Фишинг через Bithumb привел к краже $36 млн у Humanity

Кража токенов Humanity на $36 млн могла начаться не с атаки на смарт-контракт, а с обычного письма. По версии Quantstamp, злоумышленники использовали поддельное сообщение от имени южнокорейской биржи Bithumb и отправили сотруднику вредоносный файл.

После открытия вложения атакующие получили удаленный доступ к рабочему ноутбуку. Дальше сценарий стал критическим для проекта: с устройства были скопированы данные кошелька MetaMask и приватные ключи, что позволило вывести активы.

Приманкой стал график блокировки токенов

Письмо выглядело как служебное обновление по графику блокировки токенов. Для криптокомпании такая тема не выглядит подозрительно, особенно если сообщение оформлено от имени известной биржи.

Именно это сделало атаку опасной. Злоумышленники выбрали не случайную приманку, а контекст, который мог быть понятен сотрудникам проекта и связан с их обычной работой.

По данным Quantstamp, вложение установило вредоносную программу. Она открыла полный удаленный доступ к ноутбуку, после чего атакующие смогли получить чувствительные данные директора Humanity Protocol Чонга Йи Вая.

Проблемой стали не контракты, а ключи

В этой истории главное уязвимое место оказалось вне блокчейна. Если приватные ключи попадают к злоумышленнику, сеть воспринимает последующие транзакции как обычные операции владельца кошелька.

Для криптопроектов это один из худших сценариев. Аудит смарт-контрактов может не помочь, если доступ к активам хранится на устройстве, которое можно заразить через фишинговое письмо.

Поэтому атака показывает более широкий риск. Без жесткого управления ключами, изоляции рабочих устройств и многоуровневого подтверждения операций даже крупный проект может потерять ликвидные активы через один скомпрометированный ноутбук.

Следы указали на северокорейский почерк

Quantstamp отдельно отметила техническую деталь: вредоносная программа была подписана цифровым сертификатом южнокорейской Hancom. По оценке компании, такой прием характерен для атак, которые ранее связывали с группами из КНДР.

Это не означает автоматического доказательства в суде. Но для расследований в кибербезопасности важны повторяющиеся признаки: способ доставки файла, маскировка под знакомую компанию, использование легитимно выглядящих сертификатов и дальнейшая работа с ключами.

В случае Humanity такая связка выглядит показательной. Злоумышленники использовали тему, связанную с токенами, южнокорейскую биржу как прикрытие и инструмент, который должен был выглядеть менее подозрительно для системы защиты.

Северокорейские группы снова в центре внимания

Если версия Quantstamp подтвердится, инцидент пополнит список крупных криптокраж, которые связывают с КНДР. По данным источника, в апреле связанные с этой страной группы могли быть причастны как минимум к $578 млн из $634 млн ущерба по криптоинцидентам.

CertiK ранее оценивала масштаб еще выше. В майском отчете компания писала, что подобные группы связывали примерно с $2 млрд из $3,4 млрд потерь от криптоэксплойтов в 2025 году. При этом на них приходилось около 12% всех инцидентов.

Такое соотношение важно. Речь идет не о большом числе мелких атак, а о сравнительно небольшой доле инцидентов с огромным ущербом. Это указывает на точечные операции, долгую подготовку и выбор целей, где можно быстро получить крупную сумму.

Криптокражи стали отдельной системой

По оценке CertiK, за последнее десятилетие связанные с КНДР структуры могли похитить около $6,75 млрд в криптовалюте. В отчетах упоминаются 263 задокументированных инцидента.

Компания считает, что такие операции превратились для режима в один из механизмов внешнего финансирования. Это уже не выглядит как набор разрозненных взломов. Скорее речь идет о постоянной инфраструктуре, которая работает против бирж, протоколов, сотрудников и поставщиков услуг.

Для индустрии это меняет подход к безопасности. Угроза приходит не только из кода. Она может начинаться с почты, собеседования, поддельного документа, фальшивого обновления или зараженного файла.

Человеческий фактор остается главным входом

Случай Humanity показывает, почему фишинг так опасен для крипторынка. Атакующим не всегда нужно искать сложную ошибку в протоколе. Иногда достаточно убедить одного человека открыть файл.

Если этот человек имеет доступ к кошелькам, внутренним системам или ключам, ущерб может быть мгновенным. В традиционном бизнесе зараженный ноутбук часто означает утечку данных. В криптоиндустрии это может означать прямую потерю токенов, которые после перевода почти невозможно вернуть.

Поэтому проекты вынуждены усиливать не только аудит кода, но и операционную безопасность. Нужны отдельные устройства для подписания транзакций, запрет хранения ключей на рабочих ноутбуках, многофакторные процедуры и ограничения доступа даже для руководителей.

КНДР отвергает обвинения

Пхеньян традиционно отрицает причастность к кибератакам. 3 мая представитель МИД КНДР через государственное агентство KCNA заявил, что обвинения со стороны США строятся на неверных утверждениях о якобы несуществующей киберугрозе.

Такие заявления не останавливают расследования блокчейн-аналитиков. Компании безопасности продолжают отслеживать технические признаки, движение средств и повторяющиеся схемы атак.

Для рынка важна именно эта практическая часть. Политические опровержения не меняют того факта, что криптопроекты все чаще сталкиваются с хорошо подготовленными операциями, где фишинг сочетается с быстрым выводом активов.

Humanity нужно восстановить доверие

Для Humanity Protocol ущерб не ограничивается $36 млн. Проект работает в сфере децентрализованной идентичности, где безопасность и доверие имеют особое значение.

После такой атаки пользователи и партнеры будут ждать ответа на несколько вопросов. Где хранились ключи, почему их можно было получить с рабочего устройства, какие доступы были у сотрудника и какие ограничения появятся после инцидента.

Рынку также важно понять, будут ли приняты меры по компенсации, мониторингу украденных средств и усилению внутренних процедур. Без этого взлом останется не только финансовой потерей, но и репутационным ударом.

Что дальше?

Humanity Protocol нужно опубликовать понятный отчет о взломе и мерах после инцидента. Особенно важны изменения в управлении ключами, проверке почтовых вложений и доступе сотрудников к кошелькам.

Для всей индустрии этот случай стал очередным напоминанием: безопасность криптопроекта не заканчивается аудитом смарт-контрактов. Если ключи можно украсть через ноутбук, защита протокола остается неполной.

Главный вывод простой. Атака на Humanity показала, что фишинг и компрометация сотрудников остаются одним из самых опасных сценариев для крипторынка. Если северокорейский след подтвердится, это будет еще один пример точечной операции, где хорошо подготовленная группа получила доступ к активам через человеческий фактор.

Читать далее: ИИ-аудит Zcash не выявил новых критичных ошибок