AI News CryptoTRADE THE NEWS
Quantstamp ties Humanity Protocol’s $36M H-token theft to phishing-led MetaMask key compromise
ارز دیجیتال

کوانت‌استمپ سرقت ۳۶ میلیون دلاری توکن H پروتکل بشریت را به نفوذ کلید متا ماسک از طریق فیشینگ مرتبط می‌داند

جزئیات پاسخ به حادثه به بدافزار امضا شده توسط هانکام اشاره دارد که به عنوان "ویژگی‌های نفوذهای DPRK" توصیف شده است.

نوشته AI News Crypto Editorial Team8 دقیقه مطالعه

پروتکل بشریت می‌گوید که مهاجمان ۳۶ میلیون دلار توکن H را پس از دسترسی به یک لپ‌تاپ کارمند آسیب‌دیده سرقت کردند. پاسخ به حادثه Quantstamp این نقض را به یک پیوست فیشینگ که بدافزار دسترسی از راه دور را ارائه می‌دهد و سرقت اعتبارنامه‌های MetaMask و کلیدهای خصوصی را ممکن می‌سازد، ردیابی می‌کند.

نکات کلیدی

  • پروتکل بشریت سرقت ۳۶ میلیون دلاری توکن‌های بشریت (H) را پس از دسترسی مهاجمان از طریق یک لپ‌تاپ کارمند آسیب‌دیده فاش کرد.
  • نقطه اولیه نفوذ از یک ایمیل فیشینگ ناشی می‌شود که پیوست مخرب آن به عنوان به‌روزرسانی برنامه قفل توکن Bithumb پنهان شده بود.
  • پاسخ به حادثه Quantstamp می‌گوید که بدافزار نصب‌شده دسترسی کامل از راه دور را فراهم کرده و کپی کردن اعتبارنامه‌های MetaMask وکلیدهای خصوصیمتصل به مدیر چنگ یی وای را ممکن می‌سازد.
  • این بدافزار با یک گواهی دیجیتال Hancom کره جنوبی امضا شده بود، الگویی که Quantstamp آن را به عنوان "ویژگی نفوذهای DPRK" توصیف کرد.

پروتکل بشریت تأیید می‌کند که سرقت ۳۶ میلیون دلاری توکن H پس از آسیب‌دیدگی لپ‌تاپ کارمند رخ داده است.

پروتکل بشریت می‌گوید که ۳۶ میلیون دلار توکن بشریت (H) پس از دسترسی مهاجمان از طریق یک لپ‌تاپ کارمند آسیب‌دیده سرقت شده است. این افشاگری برای معامله‌گران به یک دلیل مهم است که در سرقت‌های بزرگ تکرار می‌شود. حالت شکست در منطق زنجیره‌ای نبود. این یک نقطه پایانی انسانی بود که به پل مجوزهای خزانه‌داری تبدیل شد.

زمان‌بندی تنها به‌طور جزئی مشخص شده است. پروتکل بشریت سرقت را به عنوان وقوع در "دوشنبه" نسبت به انتشار پاسخ به حادثه Quantstamp در ۱۴ ژوئن ۲۰۲۶ توصیف کرده است، بدون تاریخ تقویمی دقیق در افشاگری.

آن زمان‌بندی گمشده جزئیات کوچکی برای ساختار بازار نیست. وقتی یک سرقت بزرگ توکن رخ می‌دهد، اولین سوالی که میزها می‌پرسند این است که چگونه سریعاً موجودی سرقت شده می‌تواند به مکان‌های مایع هدایت شود. بدون زمان شروع دقیق، بازار باید استنباط کند که مهاجم چقدر در برنامه پس از بهره‌برداری پیش رفته است.

جدول زمانی تجارت Quantstamp: به‌روزرسانی قفل جعلی Bithumb، دسترسی از راه دور، سپس سرقت کلید MetaMask

پاسخ به حادثه Quantstamp زنجیره‌ای تمیز از تجارت را ترسیم می‌کند.

این زنجیره با یک ایمیل فیشینگ آغاز می‌شود. طعمه یک پیوست مخرب بود که به عنوان به‌روزرسانی برنامه قفل توکن از صرافی کره جنوبی Bithumb پنهان شده بود. این انتخاب پیش‌زمینه کار می‌کند. یک برنامه قفل نوعی سند عملیاتی است که می‌تواند به طور معقول به برنامه‌ریزی خزانه،توزیعو ارتباطات بازار مربوط شود، که احتمال باز کردن آن را افزایش می‌دهد.

پس از باز شدن، Quantstamp می‌گوید که پیوست بدافزار را نصب کرده که به مهاجم "دسترسی کامل از راه دور" به لپ‌تاپ می‌دهد. از آنجا، نفوذ از مهندسی اجتماعی به کنترل تغییر می‌کند. دسترسی از راه دور به این معنی است که مهاجم محدود به یک سرقت اعتبارنامه نیست. آنها می‌توانند ماشین را کاوش کنند، جریان‌های کاری را تماشا کنند و هر آنچه را که نقطه پایانی می‌تواند به آن دسترسی پیدا کند، برداشت کنند.

Quantstamp می‌گوید که بدافزار به مهاجمان اجازه می‌دهد تا اعتبارنامه‌های کیف پول MetaMask و کلیدهای خصوصی متصل به مدیر پروتکل بشریت چنگ یی وای را کپی کنند. این نقطه چرخشی حیاتی است. MetaMask یک کیف پول پرکاربرد برای امضای تراکنش‌ها است. یک کلید خصوصی سطح کنترل است. اگر کپی شود، مهاجم نیازی به شکست یکقرارداد هوشمندندارد. آنها می‌توانند به سادگی مانند مالک امضا کنند.

Quantstamp همچنین یک نشانگر فنی را علامت‌گذاری کرد که آن را "ویژگی نفوذهای DPRK" توصیف کرد. نمونه بدافزار با یک گواهی دیجیتال Hancom کره جنوبی امضا شده بود. امضای کد به منظور نشان دادن نرم‌افزار به عنوان قانونی برای سیستم‌ها و کاربران است. سوءاستفاده یا به دست آوردن گواهی‌ها توسط مهاجمان یک روش شناخته شده برای کاهش اصطکاک و فرار از دفاع‌های پایه است. عبارت‌بندی Quantstamp محتاطانه است و باید به این شکل خوانده شود. این یک نشانگر است، نه یک انتساب عمومی به اجرای قانون.

چرا سرقت کلید نقطه پایانی مدل ریسک را برای خزانه‌های توکن و معامله‌گران تغییر می‌دهد

آنچه در اینجا برجسته است این است که چقدر پیچیدگی "بومی کریپتو" کمی لازم بود. روایت Quantstamp درباره یک بهره‌برداری جدید زنجیره‌ای نیست. این درباره یک نفوذ نقطه پایانی است که به سرقت کلید منجر شد، سپسداراییحرکت.

برای خزانه‌های توکن، این مدل ریسک را از "حسابرسی" قرارداد به امنیت عملیاتی تغییر می‌دهد. اگر یک لپ‌تاپ واحد بتواند به یک پایگاه دسترسی از راه دور تبدیل شود، مسیر مهاجم به ارزش اغلب کوتاه‌تر از آن است که بازار فرض می‌کند.

کنترل‌های زنجیره‌ای تنها زمانی اهمیت دارند که کلیدهایی که آنها را اعمال می‌کنند، بدون آسیب باقی بمانند.برای معامله‌گران، اثر مرتبه دوم عدم قطعیت نقدینگی است. یک سرقت توکن ۳۶ میلیون دلاری تنها یک عدد تیتر نیست. این فشار فروش بالقوه، توزیع OTC بالقوه و نقاط تماس صرافی بالقوه است که می‌تواند منجر به یخ‌زدگی یا اقدامات انطباق شود. مکانیزم مهم است زیرا نشان می‌دهد مهاجم چقدر سریع می‌تواند عمل کند. یک بهره‌برداری قرارداد هوشمند می‌تواند یک ردپای واضح زنجیره‌ای و گاهی محدودیت‌ها را به جا بگذارد. یک کلید خصوصی سرقت شده می‌تواند مانند یک امضاکننده قانونی به نظر برسد تا زمانی که رفتار آن را فاش کند.دلیل دیگری که این موضوع اهمیت دارد، روانشناختی است. تیترهای "DPRK" می‌توانند توجه را به سمت درام انتساب جلب کنند. سیگنال قابل اقدام‌تر ساده‌تر است. یک پیوست فیشینگ به علاوه دسترسی از راه دور به علاوه سرقت کلید MetaMask یک الگوی تکرارپذیر است. این نوع الگو می‌تواند هر تیمی را که یک کیف پول مرورگر را به عنوان یک رابط خزانه در نظر می‌گیرد، هدف قرار دهد.

پیوند مشکوک DPRK Quantstamp در داخل یک روایت سرقت گسترده‌تر که توسط CertiK ذکر شده، قرار می‌گیرد. CertiK بازیگران تهدید مرتبط با کره شمالی را به حداقل ۵۷۸ میلیون دلار از ۶۳۴ میلیون دلار سرقت شده در حوادث مرتبط با کریپتو در آوریل مرتبط کرد و همان بازیگران را به حدود ۲ میلیارد دلار از ۳.۴ میلیارد دلار از دست رفته به بهره‌برداری‌های کریپتو در سال ۲۰۲۵ مرتبط کرد و ۱۲٪ از کل حوادث را شامل می‌شود.

CertiK این رویکرد را "دقت و مقیاس" توصیف کرد و برآورد کرد که ۶.۷۵ میلیارد دلار در ۲۶۳ حادثه مستند در دهه گذشته سرقت شده است. زمینه مقیاس مهم است، اما این حادثه خاص را از مشکوک به تأیید شده ارتقا نمی‌دهد.

سیگنال‌هایی برای نظارت پس از هک: حرکات کیف پول، نقاط تماس صرافی و به‌روزرسانی‌های انتساب

مزیت اطلاعاتی بعدی بازار رفتار زنجیره‌ای است. هر حرکتی از توکن‌های H سرقت شده که نشان‌دهنده تجمیع، پل‌زنی یا هدایت به سمت آدرس‌های واریز صرافی باشد، پنجره‌ای را برای اینکه مهاجم چقدر سریع در تلاش است تا درآمدزایی کند، تنگ‌تر می‌کند.

عملیاتی، افشاگری‌های پیگیری از پروتکل بشریت در مورد چرخش کیف و کلید اهمیت خواهد داشت. معامله‌گران همچنین باید منتظر هر بیانیه‌ای باشند که آیا نقاط پایانی یا کیف‌های اضافی به عنوان آسیب‌دیده شناسایی شده‌اند یا خیر. جدول زمانی Quantstamp بر روی یک لپ‌تاپ و یک مجموعه از اعتبارنامه‌های MetaMask متصل به یک مدیر متمرکز است، اما این بخش مشخص نمی‌کند که آیا لپ‌تاپ آسیب‌دیده متعلق به چنگ یی وای بوده یا کارمند دیگری.

در مورد انتساب، کلید این است که آیا مجموعه نشانگر تقویت یا تضعیف می‌شود. جزئیات گواهی Hancom Quantstamp خاص است، اما هنوز هم یک نشانگر توصیف شده به عنوان "ویژگی نفوذهای DPRK" است، نه یک انتساب قطعی. گزارش‌های فنی اضافی که منبع گواهی یا همپوشانی‌های زیرساخت را روشن می‌کند، می‌تواند احتمال را بالا یا پایین ببرد.

سرانجام، هر انتساب عمومی یا اقدام اجرایی خطی است که "مشکوک" را به مسئولیت تأیید شده یا مورد مناقشه تبدیل می‌کند. کره شمالی در گذشته به ادعاهای سایبری پاسخ منفی داده است. یک سخنگوی وزارت خارجه چنین ادعاهایی را در بیانیه‌ای در تاریخ ۳ مه که توسط خبرگزاری مرکزی کره منتشر شد، رد کرد و ایالات متحده را به پخش روایت‌های "نادرست" درباره "تهدید سایبری غیرموجود" از کره شمالی متهم کرد. این انکار این پرونده را حل نمی‌کند، اما زمینه سیاسی را در صورت تشدید حادثه به انتساب عمومی ترسیم می‌کند.

نظر مارکوس هیل: سیگنال بازار تنها "DPRK" نیست—این است که چقدر آسان یک نقطه پایانی واحد می‌تواند کنترل‌های زنجیره‌ای را شکست دهد.

من این را به عنوان یک داستان نقطه پایانی اول و یک داستان انتساب دوم در نظر می‌گیرم. زنجیره پاسخ به حادثه Quantstamp ساده است: پیوست فیشینگ که به عنوان به‌روزرسانی قفل Bithumb پنهان شده، بدافزار، "دسترسی کامل از راه دور"، سپس اعتبارنامه‌های MetaMask و کلیدهای خصوصی کپی و استفاده شده. افشای خود پروتکل بشریت اندازه خسارت را به ۳۶ میلیون دلار متصل می‌کند و دسترسی را به یک لپ‌تاپ کارمند آسیب‌دیده مرتبط می‌سازد.

این ترکیب برای نتیجه‌گیری سختی درباره نقطه شکست کافی است بدون اینکه به طور بیش از حد بر روی اینکه چه کسی پشت کیبورد نشسته است، پیش برویم.

الگوی قابل توجه این است که چگونه این به راحتی مدل ذهنی بسیاری از تیم‌ها و معامله‌گران را دور می‌زند. مردم درباره "امنیت زنجیره‌ای" صحبت می‌کنند گویی که یک خندق است. در این مورد، مهاجم نیازی به شکست یک قرارداد نداشت. آنها نیاز داشتند که یک لپ‌تاپ و یک کلید کیف پول را شکست دهند. هنگامی که کلید خصوصی در بازی است، زنجیره تنها یک لایه تسویه برای دزد است.

سه سناریویی که من در حال نظارت هستم وجود دارد و هر کدام نقاط تأیید واضحی دارند.

سناریوی اول درآمدزایی سریع است. تأیید بر روی رفتار تجمیع و هدایت زنجیره‌ای خواهد بود که به نظر می‌رسد آماده‌سازی برای واریزهای صرافی است، به علاوه هر نقطه تماس صرافی قابل مشاهده. اگر این به سرعت ظاهر شود، تأثیر بازار تمایل دارد که بیشتر مکانیکی باشد. مکان‌های نقدینگی شروع به قیمت‌گذاری در جریان اجباری و ریسک تیتر می‌کنند.

سناریوی دوم توزیع کنترل‌شده است. تأیید به حرکات کندتر و مرحله‌ای خواهد بود که نشان می‌دهد مهاجم در حال مدیریت

لغزش

و ریسک نظارت است. این برای دارندگان ایمن‌تر نمی‌کند، اما زمان‌بندی را تغییر می‌دهد. معامله‌گران زمان بیشتری برای نقشه‌برداری از کیف‌ها و نظارت بر الگوهای پل‌زنی دارند.سناریوی سوم تشدید انتساب است. تأیید به جزئیات فنی اضافی خواهد بود که بدافزار امضاشده با Hancom را به زیرساخت‌های شناخته شده متصل می‌کند، یا هر اقدام اجرایی عمومی که یک بازیگر را نام می‌برد. تا آن زمان، چارچوب صحیح همان چیزی است که Quantstamp ارائه داد: نشانگرهایی "ویژگی نفوذهای DPRK"، نه یک حکم.تئوری اصلی ساده و قابل آزمایش است: اگر افشاگری‌های بعدی بر روی چرخش کلید و سخت‌سازی نقطه پایانی تمرکز کنند به جای اصلاحات قرارداد، این تأیید می‌کند که این یک سرقت کلید خصوصی است که توسط یک نقطه پایانی آسیب‌دیده واحد امکان‌پذیر شده است، نه یک بهره‌برداری زنجیره‌ای.

منابع

Quantstamp

پروتکل بشریت

  • سرتیک
  • خبرگزاری مرکزی کره
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop
  • [@portabletext/react] Unknown block type "span", specify a component for it in the `components.types` prop