Humanity Protocol-Hack: Wie gefälschte Bithumb-E-Mails auf nordkoreanische Hacker hindeuten

Ein scheinbar harmloses Dokument aus einer E-Mail von Bithumb entpuppte sich als Einfallstor für einen der größten Krypto-Hacks des Jahres. Die Sicherheitsfirma Quantstamp hat den Vorfall bei Humanity Protocol analysiert und kommt zu dem Schluss, dass hinter dem Angriff mutmaßlich staatlich gesteuerte Hacker aus Nordkorea stehen. Der Fall zeigt einmal mehr, wie gezielte Phishing-Angriffe und manipulierte digitale Zertifikate genutzt werden, um an sensible Zugangsdaten zu gelangen – und wie schwer es Unternehmen haben, sich gegen solche hochspezialisierten Bedrohungen zu schützen.

Die Attacke begann mit einer gefälschten E-Mail, die angeblich einen aktualisierten Token-Lockup-Plan von Bithumb enthielt. Mitarbeiter von Humanity Protocol öffneten einen Anhang, der mit einem digitalen Zertifikat der südkoreanischen Firma Hancom signiert war. Dieses Zertifikat gilt als typisches Merkmal nordkoreanischer Cyberangriffe, da solche Gruppen häufig legitime Zertifikate missbrauchen, um ihre Malware vertrauenswürdiger erscheinen zu lassen. Die Schadsoftware erhielt dadurch Zugang zu einem Laptop eines Mitarbeiters und ermöglichte den Angreifern, die Zugangsdaten von Chong Yee Wai, einem Direktor von Humanity Protocol, aus MetaMask zu extrahieren. Mit diesen Informationen konnten die Hacker schließlich 36 Millionen Humanity-Tokens (H) stehlen. Der Vorfall unterstreicht die wachsende Professionalisierung nordkoreanischer Cyberoperationen, die zunehmend auf präzise und großangelegte Angriffe setzen.

Wie der Angriff ablief: Von der E-Mail zum Token-Diebstahl

Der Angriff folgte einem klassischen Phishing-Ablauf, der jedoch mit einer ungewöhnlichen technischen Raffinesse durchgeführt wurde. Die Angreifer nutzten eine gefälschte E-Mail, die angeblich von Bithumb stammte – einer der größten Kryptobörsen Südkoreas. Der Betreff bezog sich auf einen „Token-Lockup-Plan-Update“, ein Dokument, das für Mitarbeiter von Krypto-Projekten durchaus relevant erscheinen konnte. Der Anhang enthielt jedoch keine harmlose PDF-Datei, sondern eine ausführbare Datei, die bei Öffnung eine Schadsoftware installierte. Diese Malware erhielt durch ein digitales Zertifikat von Hancom eine scheinbar legitime Signatur, was sie für Sicherheitssoftware weniger verdächtig machte.

Sobald die Malware auf dem Laptop des Mitarbeiters ausgeführt wurde, erhielt sie Fernzugriff auf das System. Die Angreifer konnten so die MetaMask-Wallet von Chong Yee Wai kompromittieren und dessen private Schlüssel sowie Wallet-Passwörter auslesen. Mit diesen Informationen konnten sie die Transaktionen autorisieren und die 36 Millionen H-Tokens auf eigene Wallets übertragen. Quantstamp betont, dass die Angreifer gezielt nach hochrangigen Mitarbeitern suchten, deren Zugang zu sensiblen Systemen und Krypto-Wallets den größten Schaden anrichten konnte. Dies deutet auf eine sorgfältige Vorbereitung hin, bei der die Hacker zunächst Informationen über die Struktur von Humanity Protocol sammelten, um den Angriff möglichst effektiv zu gestalten.

Nordkoreanische Hacker: Eine wachsende Bedrohung für die Krypto-Branche

Der Humanity-Protocol-Hack ist kein Einzelfall. Laut Quantstamp und anderen Sicherheitsfirmen wie CertiK führen nordkoreanische Hackergruppen seit Jahren systematische Angriffe auf Krypto-Projekte durch. Die Zahlen sind alarmierend: Allein im April 2026 sollen nordkoreanische Akteure für 578 der insgesamt 634 Millionen Dollar verantwortlich sein, die durch Krypto-Exploits verloren gingen. Für das gesamte Jahr 2025 wurden nordkoreanische Gruppen mit etwa zwei Milliarden Dollar an gestohlenen Kryptowerten in Verbindung gebracht – rund 12 Prozent aller gemeldeten Vorfälle. Diese Zahlen zeigen, dass die Angriffe nicht nur häufiger, sondern auch gezielter und professioneller werden.

Die Strategie der nordkoreanischen Hacker folgt dabei einem klaren Muster: Sie setzen auf Social Engineering, Phishing und den Missbrauch legitimer Zertifikate, um an Zugangsdaten zu gelangen. Ein besonders besorgniserregender Aspekt ist die Industrialisierung dieser Angriffe. Nordkorea hat die Krypto-Diebstähle zu einer zentralen Einnahmequelle ausgebaut, die einen substanziellen Teil des Staatshaushalts ausmacht. Dies erklärt, warum die Angriffe zunehmend komplexer und besser finanziert werden. Die Hacker nutzen dabei nicht nur klassische Cybercrime-Methoden, sondern auch fortschrittliche Techniken wie Zero-Day-Exploits und gezielte Angriffe auf Mitarbeiter mit privilegierten Zugriffen.

Warum digitale Zertifikate wie Hancom zum Risiko werden

Ein zentrales Element des Angriffs war das missbrauchte Hancom-Zertifikat. Hancom ist ein südkoreanischer Softwarehersteller, dessen digitale Signaturen normalerweise Vertrauen genießen. Nordkoreanische Hacker haben in der Vergangenheit wiederholt solche Zertifikate gestohlen oder gefälscht, um ihre Malware als legitim erscheinen zu lassen. Dies ist besonders tückisch, weil viele Unternehmen und Sicherheitslösungen digitale Signaturen als Indikator für Vertrauenswürdigkeit nutzen. Wenn eine Datei mit einem gültigen Zertifikat signiert ist, wird sie seltener als Bedrohung eingestuft – selbst wenn sie schädlich ist.

Die Nutzung von Hancom-Zertifikaten ist dabei kein Zufall, sondern Teil einer bewährten Taktik nordkoreanischer Hackergruppen. Diese Gruppen haben in der Vergangenheit bereits ähnliche Angriffe durchgeführt, bei denen sie legitime Zertifikate südkoreanischer Unternehmen missbrauchten, um ihre Malware zu tarnen. Für Unternehmen bedeutet dies, dass sie ihre Sicherheitsstrategien anpassen müssen. Ein reines Vertrauen in digitale Signaturen reicht nicht mehr aus. Stattdessen sollten zusätzliche Überprüfungsmechanismen eingeführt werden, wie etwa die manuelle Bestätigung verdächtiger E-Mails oder die Nutzung von Sandbox-Umgebungen für unbekannte Dateianhänge.

Die Rolle von MetaMask und Wallet-Sicherheit im Fokus

Ein weiterer kritischer Punkt des Angriffs war die Kompromittierung der MetaMask-Wallet von Chong Yee Wai. MetaMask ist eine der beliebtesten Browser-Erweiterungen für den Zugriff auf Ethereum und andere Blockchain-Netzwerke. Die Wallet speichert private Schlüssel und Passwörter lokal auf dem Gerät des Nutzers. Wenn diese Daten durch Malware ausgelesen werden, haben Angreifer direkten Zugriff auf die Krypto-Bestände des Opfers. Im Fall von Humanity Protocol konnten die Hacker die Tokens direkt auf ihre eigenen Wallets übertragen, ohne dass der betroffene Mitarbeiter etwas davon bemerkte.

Dieser Vorfall wirft erneut Fragen zur Sicherheit von Krypto-Wallets auf. Zwar bieten Wallets wie MetaMask grundlegende Sicherheitsfunktionen wie Passwortschutz und Zwei-Faktor-Authentifizierung. Doch diese Maßnahmen reichen nicht aus, wenn die Malware bereits auf dem Gerät des Nutzers installiert ist und dessen Eingaben mitlesen kann. Für Unternehmen, die mit Kryptowährungen arbeiten, bedeutet dies, dass sie zusätzliche Sicherheitsvorkehrungen treffen müssen. Dazu gehören die Verwendung von Hardware-Wallets für große Beträge, die regelmäßige Überprüfung von Transaktionen sowie die Schulung von Mitarbeitern im Umgang mit verdächtigen E-Mails und Dateianhängen.

Was Unternehmen aus dem Humanity-Protocol-Hack lernen können

Der Humanity-Protocol-Hack ist ein Weckruf für die gesamte Krypto-Branche. Er zeigt, dass selbst gut gesicherte Unternehmen Opfer gezielter Angriffe werden können – insbesondere, wenn die Angreifer über staatliche Ressourcen und jahrelange Erfahrung verfügen. Für Unternehmen gibt es mehrere konkrete Maßnahmen, die sie ergreifen sollten, um sich besser zu schützen:

Erstens müssen Phishing-Schulungen regelmäßig und praxisnah durchgeführt werden. Mitarbeiter sollten lernen, gefälschte E-Mails zu erkennen, insbesondere wenn sie scheinbar von vertrauenswürdigen Quellen wie Kryptobörsen stammen. Zweitens sollten Unternehmen ihre Sicherheitsrichtlinien anpassen, um den Missbrauch digitaler Zertifikate zu erschweren. Dies kann durch die Einführung zusätzlicher Überprüfungsprozesse oder die Nutzung von Zertifikatsperrlisten geschehen. Drittens ist es ratsam, sensible Wallets und Systeme auf separaten, isolierten Geräten zu betreiben, um das Risiko einer Kompromittierung zu minimieren.

Ein weiterer wichtiger Schritt ist die Zusammenarbeit mit externen Sicherheitsfirmen wie Quantstamp. Diese können nicht nur bei der Aufklärung von Vorfällen helfen, sondern auch proaktiv Schwachstellen identifizieren und Empfehlungen für verbesserte Sicherheitsmaßnahmen geben. Zudem sollten Unternehmen ihre Incident-Response-Pläne regelmäßig testen, um im Ernstfall schnell und effektiv reagieren zu können.

Die langfristigen Auswirkungen auf die Krypto-Branche

Der Humanity-Protocol-Hack ist symptomatisch für eine größere Entwicklung in der Krypto-Branche: Die Bedrohung durch staatlich gesteuerte Hacker nimmt zu, und die Angriffe werden immer raffinierter. Nordkoreanische Hackergruppen sind dabei nur eine von mehreren Bedrohungen. Auch andere staatliche Akteure, wie etwa aus Russland oder China, führen zunehmend Cyberangriffe auf Krypto-Projekte durch, um an Devisen zu gelangen oder politische Ziele zu verfolgen.

Für die Krypto-Branche bedeutet dies, dass sie sich auf eine neue Ära der Bedrohungen einstellen muss. Unternehmen, die mit digitalen Vermögenswerten arbeiten, müssen ihre Sicherheitsmaßnahmen kontinuierlich anpassen und in moderne Technologien wie KI-gestützte Bedrohungserkennung investieren. Gleichzeitig wird der Druck auf Regulierungsbehörden wachsen, strengere Vorschriften für die Sicherheit von Krypto-Plattformen zu erlassen. Dies könnte zu neuen Compliance-Anforderungen führen, die Unternehmen zwingen, ihre Sicherheitsstandards zu erhöhen.

Langfristig könnte der Humanity-Protocol-Hack dazu beitragen, dass die Branche insgesamt sicherer wird – vorausgesetzt, die Unternehmen ziehen die richtigen Lehren daraus. Die Kombination aus technologischen Innovationen, besserer Aufklärung und engerer Zusammenarbeit zwischen Unternehmen und Sicherheitsfirmen ist der Schlüssel, um sich gegen die wachsende Bedrohung durch Cyberkriminalität zu wappnen.

Fazit: Wachsamkeit und Investitionen in Sicherheit sind unverzichtbar

Der 36-Millionen-Dollar-Hack bei Humanity Protocol ist ein eindringliches Beispiel dafür, wie schnell selbst gut vorbereitete Unternehmen Opfer gezielter Cyberangriffe werden können. Die Kombination aus gefälschten E-Mails, missbrauchten digitalen Zertifikaten und der Kompromittierung von Wallet-Zugängen zeigt, dass die Bedrohungslandschaft für Krypto-Projekte komplexer und gefährlicher wird. Besonders besorgniserregend ist die wachsende Professionalisierung nordkoreanischer Hackergruppen, die Krypto-Diebstähle zu einer zentralen Einnahmequelle ausgebaut haben.

Für Unternehmen bedeutet dies, dass sie ihre Sicherheitsstrategien kontinuierlich überprüfen und anpassen müssen. Dazu gehören regelmäßige Schulungen für Mitarbeiter, die Einführung zusätzlicher Überprüfungsmechanismen für verdächtige E-Mails und die Nutzung moderner Sicherheitslösungen wie Sandbox-Umgebungen oder KI-gestützter Bedrohungserkennung. Gleichzeitig sollten sie eng mit externen Sicherheitsfirmen zusammenarbeiten, um Schwachstellen proaktiv zu identifizieren und zu beheben.

Die Krypto-Branche steht vor einer entscheidenden Herausforderung: Sie muss sich gegen eine wachsende Zahl hochspezialisierter Angriffe wappnen, ohne dabei ihre Innovationskraft und Benutzerfreundlichkeit einzubüßen. Der Humanity-Protocol-Hack zeigt, dass dies nur durch eine Kombination aus technologischen Investitionen, besserer Aufklärung und enger Zusammenarbeit gelingen kann. Unternehmen, die diese Lehren ziehen und ihre Sicherheitsmaßnahmen konsequent umsetzen, werden nicht nur ihre eigenen Vermögenswerte schützen, sondern auch das Vertrauen der Nutzer in die Krypto-Branche stärken.