Humanity Protocol impute à des hackers liés à la Corée du Nord le vol de 36 millions de dollars

Humanity Protocol a attribué un vol de tokens d'environ 36 millions de dollars à des hackers liés à la Corée du Nord, après qu'une enquête a révélé que des attaquants avaient accédé à des clés privées critiques via un appareil de développeur compromis.

Selon la divulgation du 13 juin de Humanity Protocol concernant une enquête de sécurité menée par Quantstamp, des attaquants ont pris le contrôle d'une infrastructure clé et ont vidé environ 141 millions de tokens H depuis le bridge Ethereum du projet avant de minter des tokens supplémentaires sur BNB Smart Chain.

Ces conclusions offrent une image plus claire d'un incident qui a déclenché une vente massive du token H et soulevé de nouvelles inquiétudes quant aux pratiques de sécurité opérationnelle au sein des projets crypto. 

Quantstamp a déclaré que l'attaque impliquait des outils et une activité de signature de certificats couramment associés à des intrusions attribuées à des acteurs malveillants nord-coréens.

Des clés privées compromises ont permis des transactions autorisées

Les détails publiés par Humanity Protocol indiquent que la violation a débuté lorsque des attaquants ont obtenu un accès root à une machine de développeur infectée par un malware. Selon le rapport d'incident du projet publié plus tôt cette semaine, l'appareil contenait des sauvegardes de sept clés privées qui avaient été stockées par inadvertance lors du lancement du mainnet de Humanity Protocol en juin 2025.

Ces identifiants comprenaient une clé de portefeuille chaud admin, trois clés de propriétaire Ethereum Safe et trois clés de propriétaire BNB Safe. Humanity Protocol a indiqué que l'accès à ces clés a donné à l'attaquant le contrôle de plusieurs systèmes de production depuis un seul appareil.

En utilisant des identifiants valides plutôt qu'en exploitant le code d'un Smart Contract, l'attaquant a pu autoriser des transferts, exécuter des transactions Safe et approuver des mises à niveau de contrats. Humanity Protocol a précisé que les transactions portaient suffisamment de signatures pour satisfaire aux exigences de seuil de Safe, faisant apparaître les actions comme légitimes on-chain.

Suite à la mise à niveau du contrat, environ 141 millions de tokens H ont été retirés du bridge Ethereum en une seule transaction. Quantstamp a rapporté que des tokens H supplémentaires ont ensuite été mintés sur BNB Smart Chain, la majeure partie des fonds étant finalement convertie en ETH.

Humanity Protocol a souligné que ni ses contrats de bridge, ni ses contrats de tokens, ni son architecture Safe n'ont été compromis. Selon le projet, l'incident résulte entièrement de clés privées volées plutôt que d'une vulnérabilité dans l'infrastructure sous-jacente.

L'effondrement du token a suivi tandis que les enquêteurs retraçaient l'attaque

La réaction du marché a été immédiate après que les détails de l'exploit ont été rendus publics. Selon des rapports cités par Humanity Protocol, le token H a perdu entre 80 % et 90 % de sa valeur peu après la divulgation de la violation.

Un article antérieur de crypto.news avait noté qu'environ 447 millions de tokens H avaient été affectés sur Ethereum et BNB Smart Chain. Bien que le token ait ensuite récupéré une partie de ses pertes, le prix de Humanity Protocol (H) s'échangeait toujours autour de 0,214 $ le 13 juin, en hausse d'environ 20 % sur les 24 heures précédentes, mais en baisse d'environ 74 % sur la semaine écoulée.

Des enquêteurs indépendants de la blockchain ont également examiné l'incident. Des analyses publiées par Lookonchain et le chercheur on-chain pseudonyme ZachXBT ont désigné une compromission de clé privée liée à un malware comme la cause centrale de la violation. Bien que leurs conclusions aient soutenu le schéma d'attaque décrit par Humanity Protocol, l'attribution à des acteurs parrainés par un État est restée un sujet de discussion parmi certains chercheurs.

L'évaluation de Quantstamp place Humanity Protocol parmi plusieurs projets crypto qui auraient été ciblés par des groupes liés à la Corée du Nord ces dernières années. Selon la société de sécurité, l'attaque démontre comment un seul appareil compromis peut exposer une infrastructure à haute valeur lorsque des identifiants sensibles ne sont pas correctement isolés des environnements de production.