Así fue el hackeo de 36 millones de dólares a Humanity Protocol

Al abrir el archivo adjunto, se instaló un malware —específicamente un archivo llamado hncagent.exe— que estaba firmado digitalmente con un certificado surcoreano legítimo de la empresa Hancom. Quantstamp señaló que este patrón de firma de certificados es una marca registrada de las ciberoperaciones norcoreanas .

Una vez instalado, el malware otorgó a los atacantes acceso remoto completo al portátil del director. Desde esa única máquina, extrajeron siete claves privadas: tres de las seis claves de propietario de la cartera multifirma Gnosis Safe que gobernaba el puente de Ethereum, además de claves adicionales que permitían actualizar los contratos inteligentes .

Cómo se Desarrolló el Exploit en Dos Cadenas

Con el control de las claves de administración del puente, los atacantes ejecutaron ataques paralelos en Ethereum y BNB Smart Chain en una ventana de tiempo coordinada:

En Ethereum:

• Los atacantes actualizaron el contrato del puente del token H a una versión maliciosa bajo su control .
• Luego drenaron aproximadamente 141 millones de tokens H del puente en una sola transacción .
• Los tokens robados se intercambiaron en gran medida por otros activos y se trasladaron a carteras externas, lo que dificulta enormemente su recuperación .

En BNB Smart Chain:

• Los atacantes tomaron el control del contrato ProxyAdmin .
• Utilizando este acceso, acuñaron tokens H adicionales directamente, creando nueva oferta de la nada .
• Los tokens recién acuñados y robados se vendieron sistemáticamente en los exchanges descentralizados Uniswap y PancakeSwap durante aproximadamente ocho horas, desplomando el precio del token .

Un detalle crucial es que el ataque no explotó un fallo en ningún contrato inteligente. Fue una brecha pura por compromiso de claves, impulsada por una campaña de phishing dirigida a una persona. Humanity Protocol confirmó más tarde este punto de forma explícita, declarando que ningún contrato inteligente fue explotado .

Los Hallazgos Forenses de Quantstamp y la Conexión con Corea del Norte

Humanity Protocol contrató a Quantstamp el 9 de junio, un día después de la brecha. La firma de seguridad publicó su informe de investigación preliminar el 11 de junio, y el proyecto atribuyó públicamente el robo a piratas informáticos vinculados a Corea del Norte el 12 de junio, presentando una divulgación completa de los hallazgos de Quantstamp el 14 de junio .

Los indicadores forenses clave que orientaron a Quantstamp hacia actores de amenazas vinculados a la RPDC (República Popular Democrática de Corea) incluyen:

• Herramientas y comportamiento del malware: El uso de hncagent.exe como cargador de primera etapa, junto con los patrones de acceso remoto observados, coincidía con conjuntos de intrusión norcoreanos conocidos .
• Abuso de certificados digitales: El malware estaba firmado con un certificado digital surcoreano legítimo de Hancom, una táctica que Quantstamp identificó como característica de operaciones previas vinculadas a la RPDC .
• Técnica operativa: El enfoque de múltiples etapas (phishing, exfiltración de claves y drenaje entre cadenas) refleja el manual de operaciones, con un fuerte componente de ingeniería social, asociado durante mucho tiempo al Grupo Lazarus y sus afiliados, que han robado más de 3.000 millones de dólares en criptomonedas mediante métodos similares .

El informe también aclaró el riesgo actual: mientras que el contrato del token H en Ethereum fue congelado por una cartera multifirma no comprometida, el despliegue en BNB Smart Chain permanece bajo el control permanente del atacante, con capacidad continua para acuñar tokens .

El Desplome del Token H y su Remontada del 210%

El Desplome

Inmediatamente después del exploit del 8 de junio, el precio del token H se desplomó. Desde su máximo histórico de $0.844 el 2 de junio, el token cayó aproximadamente un 74%, alcanzando mínimos entre $0.05 y $0.13 en medio de ventas de pánico .

Los Repuntes de Recuperación

Se produjeron una serie de repuntes de alivio:

• 12 de junio: El token H subió aproximadamente un 44% en un solo día, cotizando de nuevo alrededor de $0.227. El repunte fue impulsado por el anuncio de mitigación de Humanity Protocol y la congelación del contrato de Ethereum .
• 14 de junio: Otro repunte diario del 42% llevó el token a un máximo de $0.6276, lo que representa una subida de aproximadamente el 210% desde sus mínimos posteriores al exploit .

Por Qué Fue Arriesgada Esta Subida

Esta espectacular recuperación no se basó en fundamentos sólidos. Los datos de CoinMarketCap mostraron que el repunte del 14 de junio fue acompañado por un aumento del 131% en el Interés Abierto (Open Interest), alcanzando los 213 millones de dólares, lo que indica una entrada masiva de posiciones especulativas apalancadas . El análisis de CoinMarketCap señaló explícitamente que esta acumulación de apalancamiento conllevaba un riesgo de volatilidad elevado, advirtiendo que cualquier retroceso repentino podría desencadenar liquidaciones en cascada .

Para el 15 de junio, el token ya había retrocedido a un rango de $0.23-$0.30, confirmando la fragilidad del repunte especulativo .

Implicaciones Más Amplias para la Seguridad en Web3

La brecha de Humanity Protocol no es un incidente aislado: es un claro ejemplo de las vulnerabilidades estructurales que persisten en el ecosistema Web3, incluso en proyectos diseñados explícitamente en torno a la descentralización.

1. El mito de la descentralización mediante multifirma. Humanity usaba una cartera multifirma de Gnosis Safe, donde se necesitaban 3 de 6 firmas para controlar el puente. Sin embargo, tres de esas seis claves estaban almacenadas en el portátil de un solo empleado. La brecha demuestra que un esquema multifirma es tan seguro como la custodia física distribuida de sus claves, una realidad que muchos proyectos aún descuidan .

2. La piratería norcoreana es ahora una amenaza predecible y repetitiva. Las unidades cibernéticas de la RPDC, incluido el Grupo Lazarus, han perfeccionado un manual de operaciones repetible: identificar un proyecto cripto, comprometer a un desarrollador o ejecutivo mediante ingeniería social, robar claves privadas y drenar fondos a través de múltiples cadenas. Humanity Protocol es la última entrada en una lista larga y creciente .

3. Los puentes entre cadenas siguen siendo puntos críticos. Por diseño, los puentes contienen grandes reservas de activos líquidos controladas por un pequeño número de claves de administración. Esto los convierte en objetivos irresistibles. La explotación simultánea de los puentes de Ethereum y BSC en este ataque refuerza por qué la seguridad de los puentes —no solo la auditoría de contratos inteligentes, sino la gestión de claves y el control de acceso— debería ser la máxima prioridad para cualquier proyecto de cadena cruzada .

4. Los repuntes posteriores a un exploit pueden ser trampas. La subida del 210% del token H atrajo a operadores en busca de una rápida recuperación, pero los datos de apalancamiento sugieren una operación abarrotada e inestable. Cuando un token rebota por especulación en lugar de por una resolución creíble —especialmente con una de las cadenas permanentemente comprometida—, el riesgo de un segundo desplome no es teórico .

5. La presión regulatoria aumentará. Cuando un actor estatal como Corea del Norte está implicado en un robo de criptomonedas, los reguladores toman nota. Es de esperar un escrutinio renovado sobre el cumplimiento de las normas de conocimiento del cliente (KYC) y prevención de blanqueo de capitales (AML), los estándares de gestión de claves de custodia y las auditorías de seguridad obligatorias, en particular para los protocolos que operan puentes entre cadenas que contienen fondos de usuarios .