漏洞概览
6月8日,去中心化身份平台 Humanity Protocol 遭遇安全漏洞,造成价值 3600 万美元的 H 代币损失。区块链安全公司 Quantstamp 将此次攻击追踪至疑似朝鲜威胁行为者,该团体部署了定制化的钓鱼攻击,目标对象为平台员工。该恶意邮件显示名称模仿韩国交易所 Bithumb,指示收件人查看附带的“代币锁定计划更新”。
钓鱼邮件与恶意软件部署
该钓鱼信息包含一个文档附件,一旦打开便在员工工作站上安装了远程访问木马。该木马提供持久后门访问,使攻击者能够窃取存储在本地钱包软件中的凭证和私钥。在数小时内,恶意行为者通过一系列混币服务从多个协议智能合约中转移 H 代币,混淆轨迹后再将资金路由至交易所。
Quantstamp 调查结果与归因
Quantstamp 的报告强调攻击工具集与此前归因于朝鲜拉撒路集团的方法之间的代码相似性,包括使用定制下载脚本和自定义加密例程。该公司估计此次事件约占 2025 年因加密漏洞遭受损失的近 34 亿美元的 1%,凸显了国家相关黑客组织持续存在的风险。
协议应对与行业影响
Humanity Protocol 的开发者在检测到漏洞后立即暂停所有代币转移,并部署紧急多签治理措施以防止进一步资金外流。对智能合约进行全面审计正在进行中,同时与执法机构和区块链分析公司合作。业界观察者指出,此次漏洞凸显去中心化项目需要采用多层安全策略的重要性,包括使用硬件钱包、网络分段以及定期的第三方审计。
缓解措施与建议
- 强制为特权账户使用硬件钱包。
- 实施带时延的多签交易批准。
- 持续监控异常的合约交互和异常资金外流。
- 对拥有私钥或协议管理工具权限的全体员工进行钓鱼防范培训。
Humanity Protocol 事件提醒我们,即使是先进的去中心化框架也会受到社会工程学的影响。持续改进组织安全态势和协议设计对于降低未来攻击面的重要性不可忽视。
评论 (0)