Humanity Protocol sotto tiro: strumenti di hacking collegati a hacker della Corea del Nord, avverte Quantstamp

Quantstamp ha affermato che un allegato malevolo inviato tramite una mail di phishing è al centro dell’attacco che ha portato al furto di token dall’ecosistema di Humanity Protocol, suggerendo il coinvolgimento di attori collegati alla Corea del Nord.

I dettagli dell’intrusione

L’azienda di sicurezza blockchain ha ricostruito che un dispositivo di lavoro di un dipendente compromesso è stato il vettore che ha permesso ai criminali informatici di sottrarre circa 36 milioni di dollari in token Humanity (H). L’allegato fraudolento era camuffato come un aggiornamento del piano di blocco dei token proveniente da Bithumb, uno scambio di criptovalute sudcoreano.

Quantstamp ha affermato:

“L’allegato ha installato un malware che ha fornito accesso remoto completo al laptop compromesso, consentendo agli attaccanti di copiare le credenziali e le chiavi private del portafoglio MetaMask del direttore di Humanity Protocol, Chong Yee Wai.”

Elementi tecnici e indicatori di compromissione

Secondo l’analisi, il malware era firmato digitalmente con un certificato sudcoreano di Hancom, un tratto che Quantstamp ha definito tipico delle intrusioni attribuite a gruppi legati alla Corea del Nord. La firma digitale ha permesso al codice dannoso di eludere alcune verifiche e ottenere privilegi sul sistema vittima.

Quantstamp ha affermato:

“La presenza del certificato Hancom rispecchia uno schema osservato in precedenti campagne malevole attribuite a operatori nordcoreani.”

Contestualizzazione del fenomeno

Il sospetto collegamento con la Corea del Nord si inserisce in una serie di grandi furti di asset digitali che, secondo rapporti di settore, mostrano una crescente sofisticazione e una preferenza per attacchi mirati su larga scala. In un breve periodo, gruppi riconducibili alla stessa area sono stati collegati a una quota rilevante dei furti complessivi nel comparto crypto.

CertiK ha osservato:

“Gli attori coinvolti combinano precisione e scala nelle loro operazioni, concentrandosi su bersagli ad alto valore.”

Una stima aggregata citata nei report del settore indica che, nell’ultimo decennio, gli attacchi attribuibili a questi gruppi hanno sottratto miliardi di dollari in criptovalute attraverso centinaia di incidenti documentati. Alcuni analisti ritengono che tali attività siano diventate una fonte strutturale di finanziamento esterno per il regime che ne è ritenuto responsabile.

Risposta politica e comunicazioni ufficiali

Le autorità nordcoreane raramente commentano accuse di cybercrimine. In una dichiarazione diffusa dai media statali, un portavoce del ministero degli Esteri del paese ha respinto le imputazioni rivolte a Pyongyang.

Il portavoce ha scritto:

“Gli Stati Uniti stanno diffondendo narrazioni inesatte riguardo a una presunta minaccia informatica che non esiste.”

Implicazioni per la sicurezza della finanza decentralizzata

L’attacco rafforza la percezione di rischio associata alla gestione di chiavi private e alle procedure di sicurezza interne agli operatori di protocolli decentralizzati. L’uso di campagne di phishing mirate e di malware firmato per compromettere dispositivi di lavoro sottolinea come anche singoli punti deboli possano compromettere intere piattaforme con impatti economici significativi.

Per gli operatori del settore, il caso evidenzia la necessità di polizze di sicurezza informatica più rigide, controlli sulle firme digitali dei software, e programmi di formazione per il personale mirati a riconoscere messaggi ingannevoli che riproducono comunicazioni ufficiali di scambi o servizi.

Reazioni del mercato e rischi per gli investitori

Eventi come questo possono incidere negativamente sulla fiducia degli investitori nei token legati a progetti decentralizzati, con possibili flessioni di prezzo e maggiori richieste di trasparenza operativa. I detentori di token e i fornitori di servizi correlati potrebbero richiedere garanzie più robuste, assicurazioni contro i furti e revisioni indipendenti delle procedure di custodia delle chiavi.

Inoltre, una ripetizione di simili episodi su scala internazionale potrebbe stimolare interventi regolamentari più stringenti nei mercati europei, con impatti su costi di compliance e sulla competitività delle piattaforme crittografiche che operano anche in Italia.

Misure raccomandate e prossimi passi

Gli esperti suggeriscono controlli tecnici immediati come la rotazione delle chiavi, la quarantena dei dispositivi sospetti e l’adozione di soluzioni di autenticazione a più fattori per l’accesso a portafogli e interfacce amministrative. Sul fronte investigativo, le società di sicurezza continueranno l’analisi forense per tracciare flussi di fondi e identificare eventuali infrastrutture utilizzate dagli aggressori.

Le autorità competenti e i partner del settore sono coinvolti nel monitoraggio dei movimenti di fondi sui mercati secondari per limitare il riciclaggio degli asset rubati e facilitare eventuali recuperi.

In sintesi

• La sofisticazione tecnica dell’attacco indica che gli investitori devono valutare con maggiore attenzione la custodia delle chiavi e la governance dei progetti decentralizzati per ridurre il rischio operativo.
• Un aumento di incidenti attribuiti a gruppi statuali potrebbe accelerare la regolamentazione europea sul settore crypto, influenzando costi di compliance e strategie aziendali per i fornitori di servizi italiani.
• Per il mercato, una maggiore frequenza di furti su larga scala tende ad aumentare la volatilità e a spingere la domanda verso soluzioni di custodia istituzionale e prodotti assicurativi dedicati.