漏洞概覽
在6月8日,去中心化身份平台 Humanity Protocol 遭遇安全漏洞,造成價值 3600 萬美元的 H 代幣損失。區塊鏈安全公司 Quantstamp 追蹤至攻擊源自疑似北韓威脅行動者,他們部署了定制化的網路釣魚攻擊,針對平台員工。該惡意郵件的顯示名稱模仿南韓交易所 Bithumb,指示收件人查看附加的「代幣鎖定計畫更新」。
網路釣魚郵件與惡意軟件部署
該網路釣魚郵件附有一份附件文件,一旦開啟,便在受害者的工作站上安裝遠端存取木馬(RAT)。該惡意軟件提供持久後門存取,使攻擊者能竊取存放在本機錢包軟件中的憑證與私鑰。經過數小時,惡意行為者透過多個協議智能合約,經由一連串混幣服務轉移 H 代幣,混淆痕跡後再將資金匯入交易所。
Quantstamp 的調查結果與歸因
Quantstamp 的報告指出,攻擊工具集與先前被歸因於北韓 Lazarus 集團的方法在程式碼上具有相似之處,包括使用定制的下載腳本與自訂加密程式。該公司估計,此事件約佔 2025 年因加密貨幣詐欺造成的近 34 億美元損失的 1%,凸顯了國家相關駭客組織所帶來的持續風險。
協議回應與產業影響
Humanity Protocol 的開發團隊在偵測到事件後立即暫停所有代幣轉移,並部署緊急多簽治理機制以防止資金進一步外流。正在進行對智能合約的全面審計,並與執法機關及區塊鏈分析公司合作。業界觀察人士指出,此次事件強化了去中心化專案採取多層次安全策略的必要性,包括使用硬體錢包、網路區段化,以及定期第三方審計。
緩解措施與建議
- 特權帳戶必須使用硬體錢包。
- 實施帶時延的多簽交易批准。
- 持續監控異常的合約互動與非尋常的資金外流。
- 對所有有私鑰或協議管理工具存取權的員工進行網路釣魚防範意識訓練。
Humanity Protocol 的事件清楚提醒人們,即使是先進的去中心化架構仍易受到社會工程攻擊。持續提升組織安全實力與協議設計,對於降低未來攻擊面至關重要。
評論 (0)