So lief der $36M Humanity Protocol Hack: Phishing, Nordkorea und die fatale Schwachstelle im System

Als der Anhang geöffnet wurde, installierte er Malware – konkret eine Datei namens hncagent.exe – die mit einem legitimen südkoreanischen Digitalzertifikat von Hancom signiert war. Quantstamp stellte fest, dass dieses Muster der Zertifikatssignierung ein bekanntes Markenzeichen nordkoreanischer Cyberoperationen ist .

Nach der Installation gewährte die Malware den Angreifern vollständigen Fernzugriff auf den Laptop des Direktors. Von diesem einzigen Gerät aus entwendeten sie sieben private Schlüssel: drei der sechs Besitzer-Schlüssel der Gnosis Safe Multi-Signatur-Wallet, die die Ethereum-Brücke kontrollierte, sowie zusätzliche Schlüssel, die Vertrags-Upgrades ermöglichten .

So lief der Exploit über zwei Chains hinweg ab

Mit der Kontrolle über die Admin-Schlüssel der Brücke führten die Angreifer in einem koordinierten Zeitfenster parallele Angriffe auf Ethereum und der BNB Smart Chain aus:

Auf Ethereum:

• Die Angreifer aktualisierten den H-Token-Brückenvertrag auf eine von ihnen kontrollierte, bösartige Version .
• Anschließend entnahmen sie rund 141 Millionen H-Token aus der Brücke in einer einzigen Transaktion .
• Die gestohlenen Token wurden größtenteils getauscht oder auf andere Assets gebridged und auf externe Wallets transferiert, was eine Wiederbeschaffung extrem erschwert .

Auf der BNB Smart Chain:

• Die Angreifer übernahmen die Kontrolle über den ProxyAdmin-Vertrag .
• Mit diesem Zugriff prägten (minteten) sie zusätzliche H-Token direkt und schufen so effektiv neues Angebot aus dem Nichts .
• Die neu geprägten und gestohlenen Token wurden dann über einen Zeitraum von etwa acht Stunden systematisch auf Uniswap und PancakeSwap verkauft, was den Token-Preis abstürzen ließ .

Entscheidend ist: Der Angriff nutzte keinen Bug in einem Smart Contract aus. Es handelte sich um einen reinen Key-Compromise-Angriff, ausgelöst durch eine auf den Menschen abzielende Phishing-Kampagne. Humanity Protocol bestätigte diesen Punkt später ausdrücklich und erklärte, dass keine Smart Contracts ausgenutzt wurden .

Die forensischen Erkenntnisse von Quantstamp und die Verbindung zu Nordkorea

Humanity Protocol beauftragte Quantstamp am 9. Juni, einen Tag nach dem Vorfall. Die Sicherheitsfirma veröffentlichte ihren vorläufigen Untersuchungsbericht am 11. Juni, und das Projekt führte den Diebstahl am 12. Juni öffentlich auf mit Nordkorea verbundene Hacker zurück, bevor am 14. Juni die vollständige Offenlegung der Quantstamp-Ergebnisse folgte .

Wichtige forensische Indikatoren, die Quantstamp auf Bedrohungsakteure mit Verbindungen zur DVRK (Demokratische Volksrepublik Korea) hinwiesen, umfassten:

• Malware-Tooling und -Verhalten: Die Verwendung von hncagent.exe als First-Stage-Loader sowie die beobachteten Fernzugriffsmuster stimmten mit bekannten nordkoreanischen Eindringungssets überein .
• Missbrauch digitaler Zertifikate: Die Malware war mit einem legitimen südkoreanischen Digitalzertifikat von Hancom signiert, eine Taktik, die Quantstamp als charakteristisch für frühere Operationen mit DVRK-Verbindung identifizierte .
• Operative Vorgehensweise: Der mehrstufige Ansatz – Phishing, Key-Exfiltration, Cross-Chain-Drain – spiegelt das auf Social Engineering lastende Playbook wider, das seit langem mit der Lazarus-Gruppe und ihren verbundenen Gruppen in Verbindung gebracht wird, die mit ähnlichen Methoden über 3 Milliarden Dollar in Kryptowährungen gestohlen haben .

Der Bericht verdeutlichte auch das anhaltende Risiko: Während der H-Token-Vertrag auf Ethereum von einer nicht kompromittierten Multi-Signatur-Wallet eingefroren wurde, bleibt die Bereitstellung auf der BNB Smart Chain dauerhaft unter der Kontrolle der Angreifer, mit der weiterhin bestehenden Möglichkeit, neue Token zu prägen .

Der Absturz des H-Tokens und die 210-Prozent-Rallye

Der Absturz

Unmittelbar nach dem Exploit vom 8. Juni stürzte der H-Token-Preis ab. Von einem Allzeithoch von 0,844 USD am 2. Juni fiel der Token um rund 74 % und erreichte in der Panikverkaufswelle Tiefststände zwischen 0,05 und 0,13 USD .

Die Erholungsrallyes

Es folgte eine Reihe von Entlastungsrallyes:

• 12. Juni: H stieg an einem einzigen Tag um etwa 44 % und handelte wieder bei rund 0,227 USD. Der Anstieg wurde durch die Ankündigung von Gegenmaßnahmen durch Humanity Protocol und das Einfrieren des Ethereum-Vertrags getrieben .
• 14. Juni: Eine weitere eintägige Rallye von 42 % trieb den Token auf ein Hoch von 0,6276 USD, was einem Anstieg von etwa 210 % gegenüber den Tiefstständen nach dem Exploit entspricht .

Warum der Anstieg riskant war

Diese dramatische Erholung basierte nicht auf wiederhergestellten Fundamentaldaten. Daten von CoinMarketCap zeigten, dass der Anstieg am 14. Juni von einem Anstieg des Open Interest um 131 % auf 213 Millionen USD begleitet wurde, was auf einen massiven Zufluss spekulativer, gehebelter Positionen hindeutet . Die Analyse von CoinMarketCap wies ausdrücklich darauf hin, dass dieser Aufbau von Hebelwirkung ein erhöhtes Volatilitätsrisiko birgt, und warnte, dass jede plötzliche Umkehr kaskadierende Liquidationen auslösen könnte .

Bis zum 15. Juni war der Token bereits wieder auf etwa 0,23 bis 0,30 USD zurückgefallen, was die Fragilität der spekulativen Rallye bestätigte .

Breitere Implikationen für die Web3-Sicherheit

Der Humanity-Protocol-Vorfall ist kein Einzelfall – er ist ein Paradebeispiel für die strukturellen Schwachstellen, die in Web3 fortbestehen, selbst bei Projekten, die explizit auf Dezentralisierung ausgelegt sind.

1. Der Mythos der Dezentralisierung durch Multi-Sig. Humanity verwendete eine 3-von-6 Gnosis Safe zur Brückensteuerung. Doch drei dieser sechs Schlüssel waren auf dem Laptop eines einzigen Mitarbeiters gespeichert. Der Vorfall zeigt, dass ein Multi-Signatur-Schema nur so sicher ist wie die verteilte physische Verwahrung seiner Schlüssel – eine Realität, die viele Projekte immer noch vernachlässigen .

2. Nordkoreanisches Hacking ist jetzt eine vorhersehbare, sich wiederholende Bedrohung. Die Cyber-Einheiten der DVRK, einschließlich der Lazarus-Gruppe, haben ein wiederholbares Playbook perfektioniert: Ein Krypto-Projekt identifizieren, einen Entwickler oder Manager durch Social Engineering kompromittieren, private Schlüssel stehlen und Gelder Chain-übergreifend abziehen. Humanity Protocol ist der jüngste Eintrag auf einer langen und wachsenden Liste .

3. Cross-Chain-Brücken bleiben kritische Engpässe. Brücken halten konstruktionsbedingt große, liquide Vermögenspools, die von einer kleinen Anzahl von Admin-Schlüsseln kontrolliert werden. Das macht sie zu unwiderstehlichen Zielen. Die gleichzeitige Ausnutzung der Ethereum- und BSC-Brücken bei diesem Angriff unterstreicht, warum Brückensicherheit – nicht nur die Prüfung von Smart Contracts, sondern auch Schlüsselverwaltung und Zugangskontrolle – oberste Priorität für jedes Cross-Chain-Projekt haben sollte .

4. Rallyes nach einem Exploit können Fallen sein. Der 210-prozentige Anstieg des H-Tokens lockte Händler an, die auf eine schnelle Erholung setzten, aber die Hebelwirkungsdaten deuteten auf einen überfüllten, instabilen Trade hin. Wenn sich ein Token aufgrund von Spekulation und nicht aufgrund einer glaubwürdigen Lösung erholt – insbesondere wenn eine Chain dauerhaft kompromittiert bleibt – ist das Risiko eines zweiten Absturzes nicht nur theoretisch .

5. Der regulatorische Druck wird zunehmen. Wenn ein staatlicher Akteur wie Nordkorea in einen Krypto-Diebstahl verwickelt ist, werden die Aufsichtsbehörden hellhörig. Es ist mit einer erneuten Prüfung der KYC/AML-Compliance, der Standards für die Verwahrung von Schlüsseln und obligatorischen Sicherheitsaudits zu rechnen – insbesondere für Protokolle, die Cross-Chain-Brücken betreiben und Nutzergelder halten .