Wichtige Einblicke
- In den Krypto-Nachrichten wurde ein Phishing-Angriff auf das Humanity Protocol thematisiert.
- Die Angreifer verschafften sich über einen gefälschten E-Mail-Anhang von Bithumb Zugang.
- Die Ermittler konnten die Merkmale der Malware auf mutmaßliche Akteure aus Nordkorea zurückführen.
Humanity Protocol gab eine schwerwiegende Sicherheitsverletzung bekannt, nachdem Angreifer das Gerät eines Mitarbeiters kompromittiert und Projekt-Token gestohlen hatten. Das Blockchain-Sicherheitsunternehmen Quantstamp untersuchte den Vorfall und kam zu dem Schluss, dass der Angriff auf eine Phishing-Kampagne zurückzuführen war, die Merkmale aufwies, die zuvor mit nordkoreanischen Akteuren in Verbindung gebracht worden waren.
Dieser Vorfall reiht sich ein in die zunehmende Zahl von Meldungen über staatlich geförderte Cyberkriminalität, die sich gegen Unternehmen im Bereich digitaler Vermögenswerte richtet. Sicherheitsfirmen haben wiederholt darauf hingewiesen, dass Phishing nach wie vor eine der wirksamsten Methoden ist, um Krypto-Vermögenswerte zu stehlen und sich Zugang zu privilegierten Systemen zu verschaffen.
Krypto-Nachrichten konzentrieren sich auf Phishing-Einstiegspunkte
Aus dem Vorfallbericht von Quantstamp ging hervor, dass der Angriff mit einer betrügerischen E-Mail begann, die vorgaukelte, von der südkoreanischen Börse Bithumb zu stammen. Die Nachricht enthielt einen schädlichen Anhang, der als Aktualisierung des Zeitplans für die Token-Sperrfrist getarnt war. Nach dem Öffnen installierte die Datei Malware, die den Angreifern die Fernsteuerung des Zielcomputers ermöglichte.
Die Ermittler stellten fest, dass der kompromittierte Laptop dem Direktor von Humanity Protocol, Chong Yee Wai, gehörte. Durch den Zugriff auf das Gerät gelang es den Angreifern, die Anmeldedaten und privaten Schlüssel der MetaMask-Wallet zu entwenden. Die Aktion verlief anschließend zügig, sodass unbefugte Überweisungen von den mit dem Projekt verbundenen Wallets vorgenommen werden konnten.
Die Malware trug eine digitale Signatur, die dem südkoreanischen Softwareanbieter Hancom zugeordnet wurde. Quantstamp gab an, dass ähnliche Zertifikate bereits in früheren Kampagnen aufgetaucht seien, die Akteuren zugeschrieben wurden, die von der Demokratischen Volksrepublik Korea aus operieren. Diese Erkenntnis verstärkte den Verdacht hinsichtlich der Beteiligung dieser Gruppe.
Der Angriff auf das „Humanity Protocol“ passt in ein allgemeines Verhaltensmuster der DVRK
Untersuchungen von CertiK ergaben, dass Akteure mit Verbindungen zu Nordkorea auch im vergangenen Jahr für den Großteil der Verluste durch Kryptowährungsdiebstähle verantwortlich waren. Sicherheitsanalysten stellten eine Tendenz zu weniger, dafür aber umfangreicheren Angriffen fest. Dieses Muster spiegelte eine verbesserte Zielgenauigkeit und eine strengere operative Disziplin bei den Bedrohungsgruppen wider.
Der Angriff auf das Humanity Protocol wies mehrere Merkmale auf, die bereits aus früheren Kampagnen bekannt waren. Die Angreifer setzten auf Social Engineering anstatt auf die direkte Ausnutzung von Smart Contracts. Sie nahmen Personen mit privilegierten Zugriffsrechten ins Visier und nutzten anschließend gestohlene Zugangsdaten, um technische Sicherheitsvorkehrungen zu umgehen.
Sicherheitsfirmen wiesen wiederholt darauf hin, dass Phishing nach wie vor einer der wirksamsten Angriffsvektoren im Bereich digitaler Ressourcen sei. Viele Vorfälle begannen mit vertrauenswürdig wirkenden E-Mails, gefälschten Stellenangeboten oder Software-Updates. Sobald die Opfer Zugriff gewährt hatten, bewegten sich die Angreifer häufig lateral durch die internen Systeme, bevor sie Diebstähle verübten.
Die Forscher stellten zudem fest, dass Kryptowährungen nach wie vor attraktiv sind, da Transaktionen schnell abgewickelt werden und länderübergreifend funktionieren. Die Wiederbeschaffung gestohlener Vermögenswerte gestaltet sich schwierig, nachdem Gelder mehrere Wallets und Geldwäschekanäle durchlaufen haben. Diese Herausforderung setzte die Projekte weiterhin unter Druck, ihre Sicherheitsvorkehrungen für Mitarbeiter zu verstärken.
Krypto-Nachrichten spiegeln wachsende Sicherheitsrisiken wider
Humanity Protocol ist im Bereich der dezentralen Identitätslösungen tätig , wo das Vertrauen der Nutzer für die Akzeptanz nach wie vor von zentraler Bedeutung ist. Der Vorfall warf Fragen hinsichtlich der betrieblichen Sicherheitskontrollen auf, nicht jedoch hinsichtlich der Blockchain-Architektur. Die Ermittler fanden keine Hinweise darauf, dass die Angreifer eine Schwachstelle auf Protokollebene ausgenutzt hätten.
Vielmehr hat dieser Vorfall die Risiken im Zusammenhang mit der Endpunktsicherheit und der Schlüsselverwaltung deutlich gemacht. Unternehmen investieren oft erhebliche Mittel in die Prüfung von Smart Contracts, übersehen dabei jedoch die Angriffsflächen, die durch ihre Mitarbeiter entstehen. Angreifer nehmen zunehmend Einzelpersonen ins Visier, da menschliches Verhalten häufig einfachere Angriffspunkte bietet.
Jüngste Sicherheitstrends zeigten einen zunehmenden Einsatz von Malware, die als legitime Geschäftskommunikation getarnt war. Exchange-Benachrichtigungen, Partnerschaftsangebote und Updates zur Token-Verteilung wurden zu gängigen Lockmitteln. Diese Taktiken waren erfolgreich, da die Empfänger im Rahmen ihrer Routineaufgaben häufig auf solche Nachrichten reagierten.
Branchenbeobachter argumentierten, dass eine strengere Trennung der Wallets und hardwarebasierte Sicherheitsmaßnahmen solche Risiken verringern könnten. Mehrstufige Authentifizierungssysteme begrenzten zudem den Schaden nach einer Kompromittierung der Geräte. Allerdings konnte keine einzelne Sicherheitsmaßnahme Phishing-Bedrohungen vollständig ausschließen.
Die nächste Phase der Ermittlungen wird sich voraussichtlich auf die Nachverfolgung von Geldflüssen und die Ermittlung von Geldwäschereirouten konzentrieren. Sicherheitsforscher werden die Aktivitäten der Wallets auf Verbindungen zu bereits dokumentierten Bedrohungsnetzwerken überwachen. Marktteilnehmer werden zudem beobachten, ob weitere Hinweise auftauchen, die die Operation mit bekannten nordkoreanischen Gruppen in Verbindung bringen.
