漏洞概览
6月8日,去中心化身份平台 Humanity Protocol 遭遇安全漏洞,损失了约价值3600万美元的 H 代币。区块链安全公司 Quantstamp 将此次攻击追踪至疑似朝鲜威胁行为者,他们部署了针对该平台一名员工的定制钓鱼活动。恶意邮件显示的名称模仿韩国交易所 Bithumb,指示收件人查看附带的“代币锁定计划更新”。
网络钓鱼邮件与恶意软件部署
钓鱼信息包含一个文档附件,一旦打开,就会在员工的工作站上安装远程访问木马程序。该恶意软件提供持续的后门访问,使攻击者能够提取本地钱包软件中存储的凭据和私钥。数小时内,攻击者通过一系列混币服务从多个协议智能合约转移 H 代币,混淆踪迹后再将资金路由至交易所。
Quantstamp 的调查结果与归因
Quantstamp 的报告强调攻击工具集与此前归因于朝鲜 Lazarus Group 的方法之间存在代码相似性,包括使用定制下载脚本和自定义加密例程。该机构估计此次事件约占2025年因加密漏洞造成的近34亿美元损失的1%,凸显了国家关联黑客组织持续带来的风险。
协议应对与行业影响
Humanity Protocol 开发者在检测到事件后立即暂停所有代币转账,部署紧急多签治理措施以防止进一步资金外流。正在对智能合约进行全面审计,并与执法机构及区块链分析公司合作。业界观察人士指出,此次漏洞强化了去中心化项目采用多层次安全策略的必要性,包括使用硬件钱包、网络分段以及定期进行第三方审计。
缓解措施与建议
- 对特权账户强制使用硬件钱包。
- 实现带时间延迟的多签名交易批准。
- 持续监控异常合约交互和异常资金外流。
- 为所有拥有私钥或协议管理工具的员工提供网络钓鱼防范培训。
Humanity Protocol 事件为一个鲜明的提醒:即使是先进的去中心化框架也易受社会工程学攻击。组织安全态势和协议设计方面的持续改进对于降低未来攻击面至关重要。
评论 (0)