การสืบสวนของ Quantstamp เชื่อมโยงการแฮก Humanity Protocol กับกลุ่ม DPRK, H มูลค่า 141 ล้านถูกโอนย้าย

การโจรกรรม H token จำนวน 141 ล้านเหรียญจาก Humanity Protocol เมื่อวันที่ 8 มิถุนายน ไม่ได้เริ่มต้นจากการโจมตีช่องโหว่ของโค้ด แต่มาจากอุปกรณ์ส่วนตัวที่ถูกเจาะระบบ ซึ่งเป็นลักษณะเฉพาะของปฏิบัติการไซเบอร์ของเกาหลีเหนือ รายงานใหม่จาก Quantstamp ที่ WuBlockchain ได้รับมา เปิดเผยว่าผู้โจมตีใช้การโจมตีแบบฟิชชิ่งเพื่อเข้าถึงเครื่องคอมพิวเตอร์ของผู้อำนวยการจากระยะไกล จากนั้นจึงคัดลอกข้อมูลวอลเล็ตและคีย์ส่วนตัว เหตุการณ์นี้เปิดเผยให้เห็นว่าอุปกรณ์ปลายทางของมนุษย์คือจุดอ่อนที่สุด แม้แต่ในโปรเจกต์ Web3 ที่มีทุนสนับสนุนอย่างดี

เมื่อเข้าสู่ระบบได้แล้ว ผู้โจมตีได้ดำเนินการพร้อมกันบนสองเครือข่ายที่แยกกัน บน Ethereum พวกเขาได้อัปเกรดสัญญา H token และโอน H token ประมาณ 141.18 ล้านเหรียญออกจากการควบคุมของโปรโตคอล บน BNB Smart Chain พวกเขาเข้าควบคุมสัญญา ProxyAdmin และใช้มันสร้าง H token เพิ่มเติม การเคลื่อนไหวบนสองเครือข่ายพร้อมกันนี้บ่งชี้ถึงการเตรียมการที่เริ่มขึ้นก่อนจุดเข้าผ่านฟิชชิ่ง และชี้ให้เห็นว่ากลุ่มนี้มีทรัพยากรด้านวิศวกรรมบล็อกเชนที่ลึกซึ้ง

การบุกรุกในแบบฉบับของ DPRK

Quantstamp ระบุว่ารูปแบบเครื่องมือและการเซ็นรับรองที่พบในการโจมตีนี้มีลักษณะเฉพาะของการบุกรุกที่เชื่อมโยงกับสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) กลุ่มที่ได้รับการสนับสนุนจากรัฐ เช่น Lazarus ใช้เวลาหลายปีในการพัฒนาเทคนิคที่ผสมผสานฟิชชิ่ง วิศวกรรมสังคม และการฟอกเงินบนเชนที่หลบเลี่ยงการตรวจจับ การใช้เอกสารที่เป็นอาวุธหรือเหยื่อล่อเพื่อเจาะระบบเป้าหมายมูลค่าสูง ตามด้วยการกำหนดค่าสัญญาใหม่อย่างรวดเร็ว สะท้อนให้เห็นปฏิบัติการที่สืบย้อนไปยังเปียงยางต่อโปรเจกต์ DeFi อื่น ๆ

สิ่งที่ทำให้เหตุการณ์นี้แตกต่างออกไปคือความคล่องตัวของผู้โจมตีในการสลับระหว่าง Ethereum และ BNB Smart Chain พร้อมกัน เครื่องมือตรวจสอบที่ใช้กับตลาดแลกเปลี่ยนจำนวนมากยังคงวิเคราะห์กิจกรรมของแต่ละเชนแยกกัน ทำให้เกิดจุดบอดที่ผู้กระทำการในนามรัฐใช้ประโยชน์ได้ ความสามารถในการสร้าง token ใหม่บนเครือข่ายแยกต่างหากหลังจากดูดเงินออกจากสัญญาหลัก ช่วยเพิ่มมูลค่ารวมที่ขโมยได้ในขณะที่ทำให้ความพยายามกู้คืนของเจ้าหน้าที่บังคับใช้กฎหมายซับซ้อนยิ่งขึ้น

Token ที่ถูกขโมยจะไปอยู่ที่ไหน

การโจรกรรมคริปโตขนาดใหญ่ของ DPRK ในอดีตมักจะโอนเงินผ่านตลาดแลกเปลี่ยนแบบกระจายศูนย์ บริดจ์ข้ามเชน และมิกเซอร์ก่อนที่จะนำไปฝากที่ตลาดแลกเปลี่ยนนอกฝั่งที่ไม่ได้รับการควบคุม H token จำนวน 141 ล้านเหรียญน่าจะดำเนินตามเส้นทางนั้น แม้ว่ารายงานของ Quantstamp จะไม่ได้ระบุรายละเอียดการเคลื่อนไหวหลังการโจรกรรม เมื่อพิจารณาจากปริมาณดังกล่าว ความพยายามใดๆ ในการแลกเป็นเงินสดจะเผชิญกับข้อจำกัดด้านสภาพคล่อง แต่การฟอกเงินอย่างช้าๆ และอดทนถือเป็นกลยุทธ์ที่รู้จักกันดีของ DPRK บริษัทข่าวกรองบล็อกเชนและตลาดแลกเปลี่ยนแบบรวมศูนย์ที่บล็อกที่อยู่ที่ถูกตั้งค่าสถานะอย่างแข็งขันอาจลดผลกระทบได้บางส่วน แต่ความสามารถในการแลกเปลี่ยนบน DEX ยังคงเป็นความท้าทาย

จังหวะเวลาของการโจมตีตรงกับสัปดาห์ที่ตึงเครียดอยู่แล้วสำหรับความปลอดภัยของคริปโต โปรโตคอลหลายแห่งต้องเผชิญกับการโจมตีบริดจ์ และหน่วยงานกำกับดูแลยังคงอ้างถึงความล้มเหลวในการปกป้องผู้ใช้เป็นเหตุผลในการกำกับดูแลที่เข้มงวดยิ่งขึ้น เหตุการณ์ Humanity Protocol เกิดขึ้นในขณะที่กลุ่มล็อบบี้ธนาคารผลักดันให้ล้มร่างกฎหมายคริปโตสำคัญของสหรัฐฯ ซึ่งอาจทำให้มาตรการปกป้องผู้บริโภคอยู่ในภาวะสุญญากาศทางกฎหมายนานหลายเดือน

นัยสำคัญต่อความเชื่อมั่นของสถาบัน

โปรโตคอลที่นำเสนอตัวเองในฐานะโปรเจกต์ที่เน้นเรื่องอัตลักษณ์หรือมนุษยชาติต้องเผชิญกับความเสียหายทางชื่อเสียงเป็นพิเศษ เมื่อลิงก์ฟิชชิ่งเพียงลิงก์เดียวก่อให้เกิดความสูญเสียเก้าหลัก การละเมิดนี้ดูเหมือนไม่ได้เกี่ยวข้องกับข้อบกพร่องในตรรกะสัญญาอัจฉริยะของ H token แต่พื้นผิวการโจมตีคือความปลอดภัยในการปฏิบัติงานของบุคลากรหลัก ความแตกต่างนี้มีความสำคัญสำหรับสถาบันที่กำลังพิจารณาว่าจะผสานโปรโตคอลดังกล่าวหรือไม่ รายงานการตรวจสอบโค้ดอาจแสดงผลลัพธ์ที่สะอาด แต่การติดตั้งใช้งานทั้งหมดก็ยังสามารถล้มเหลวได้เพราะนโยบายความปลอดภัยของอุปกรณ์ที่อ่อนแอ

ยังคงมีคำถามที่ยังไม่ได้รับคำตอบ Humanity Protocol ยังไม่ได้เปิดเผยว่า token ที่ถูกขโมยบางส่วนถูกระงับหรือไม่ หรือว่ามีแผนการกู้คืนที่เกี่ยวข้องกับการบังคับใช้กฎหมายกำลังดำเนินการอยู่หรือไม่ การระบุแหล่งที่มาของ Quantstamp ว่าเป็น DPRK แม้จะมีรายละเอียดเกี่ยวกับเครื่องมือ แต่ไม่ได้เปิดเผยที่อยู่วอลเล็ตที่เฉพาะเจาะจงในเวอร์ชันสาธารณะของผลการค้นพบ หากไม่มีการระบุแหล่งที่มาบนเชนที่ชุมชนสามารถเข้าถึงได้ ตลาดแลกเปลี่ยนและหน่วยงานเฝ้าระวังอาจลังเลที่จะดำเนินการ สองสามวันข้างหน้าจะเผยให้เห็นว่าโปรโตคอลสามารถจำกัดความเสียหายได้หรือไม่ และตลาดแลกเปลี่ยนทั้งบน Ethereum และ BNB Smart Chain จะประสานการตอบสนองแบบรวมศูนย์ได้หรือไม่ สำหรับตอนนี้ ตลาดเหลือ H token จำนวน 141 ล้านเหรียญในมือของโจรที่ได้รับการสนับสนุนจากรัฐ ซึ่งเป็นเครื่องเตือนใจว่าการแฮ็กที่แพงที่สุดมักเริ่มต้นจากการคลิกเพียงครั้งเดียว