Protocole Humanity victime d’un piratage de 36 millions de dollars : le lien avec des hackers nord-coréens confirmé

Le protocole Humanity, spécialisé dans l’identité décentralisée, a subi l’un des plus importants piratages de l’année 2026. Selon le rapport d’incident publié par Quantstamp, une attaque par phishing soigneusement élaborée a permis à des acteurs malveillants de s’introduire dans les systèmes internes de l’entreprise, puis de détourner 36 millions de dollars en tokens Humanity (H). L’enquête met en lumière l’utilisation d’un faux email de Bithumb, une plateforme d’échange sud-coréenne majeure, ainsi que l’exploitation d’un certificat numérique sud-coréen pour signer le malware. Ces éléments, combinés à des techniques d’ingénierie sociale avancées, orientent fortement les soupçons vers des groupes de hackers soutenus par l’État nord-coréen.

L’attaque a commencé par l’envoi d’un email frauduleux prétendant contenir une mise à jour du calendrier de verrouillage des tokens. Ce message, conçu pour ressembler à une communication officielle de Bithumb, a été adressé à un employé de Humanity Protocol. L’ouverture de la pièce jointe malveillante a installé un malware sur le portable professionnel de la victime, offrant aux attaquants un accès distant complet à la machine. Une fois infiltrés, les pirates ont pu récupérer les identifiants et les clés privées du portefeuille MetaMask de Chong Yee Wai, directeur de Humanity Protocol. Cette intrusion a directement conduit au vol des tokens Humanity (H), représentant une perte financière majeure pour l’écosystème de l’identité décentralisée.

Une attaque par phishing ciblée exploitant la confiance dans les plateformes établies

L’utilisation d’un faux email de Bithumb n’est pas un hasard. Bithumb est une plateforme d’échange sud-coréenne bien connue, régulièrement ciblée par des campagnes de phishing en raison de sa popularité auprès des investisseurs en cryptomonnaies. Les attaquants ont exploité cette confiance pour donner une apparence légitime à leur message frauduleux. Le courriel prétendait contenir une mise à jour importante concernant le calendrier de verrouillage des tokens, un sujet susceptible d’intéresser les employés de Humanity Protocol, notamment ceux impliqués dans la gestion des actifs numériques.

L’efficacité de cette approche repose sur un principe fondamental de l’ingénierie sociale : l’exploitation de la confiance et de l’urgence. En imitant une communication officielle d’une plateforme reconnue, les pirates ont réduit les chances que le destinataire suspecte une tentative de fraude. Cette méthode est particulièrement redoutable dans le secteur des cryptomonnaies, où les mises à jour de verrouillage des tokens sont des événements courants et où les employés sont souvent sous pression pour traiter rapidement les informations liées aux actifs numériques.

L’analyse de Quantstamp révèle que le malware utilisé dans cette attaque était capable d’installer un accès à distance (RAT, Remote Access Trojan) sur l’ordinateur de la victime. Une fois l’accès obtenu, les attaquants ont pu surveiller les activités de l’employé, intercepter ses frappes clavier et voler ses identifiants de portefeuille. Cette technique illustre comment les cybercriminels combinent des outils malveillants sophistiqués avec des stratégies d’ingénierie sociale pour maximiser l’impact de leurs attaques.

Un certificat numérique sud-coréen utilisé pour signer le malware : une signature distinctive des groupes nord-coréens

L’un des éléments les plus révélateurs de cette attaque est l’utilisation d’un certificat numérique sud-coréen pour signer le malware. Selon Quantstamp, cette signature est caractéristique des intrusions attribuées à des groupes soutenus par la Corée du Nord. Les acteurs malveillants nord-coréens sont connus pour utiliser des certificats valides, souvent volés ou obtenus frauduleusement, afin de donner une apparence légitime à leurs logiciels malveillants. Cette pratique permet de contourner les systèmes de détection basés sur la signature de code, rendant les malwares plus difficiles à identifier par les solutions de sécurité traditionnelles.

Les rapports de sécurité soulignent que cette technique est une signature distinctive des campagnes menées par des groupes comme Lazarus, APT38 ou Andariel, tous liés à la Corée du Nord. Ces groupes sont réputés pour leur sophistication et leur capacité à exploiter des vulnérabilités dans les systèmes informatiques, ainsi que pour leur utilisation systématique de certificats valides pour masquer leurs activités. L’utilisation d’un certificat sud-coréen dans cette attaque renforce donc l’hypothèse d’une implication directe ou indirecte de ces acteurs dans le piratage de Humanity Protocol.

Cette méthode de signature de malwares n’est pas nouvelle, mais elle reste efficace en raison de la complexité des systèmes de vérification de certificats. Les entreprises doivent donc renforcer leurs contrôles internes pour détecter les certificats suspects ou non autorisés. Une surveillance accrue des activités liées aux certificats numériques, ainsi qu’une formation continue des employés sur les risques liés aux pièces jointes et aux liens suspects, sont essentielles pour limiter les risques d’intrusion.

Une perte financière majeure qui s’inscrit dans une tendance alarmante de vols en cryptomonnaies

Le vol de 36 millions de dollars en tokens Humanity (H) s’ajoute à une liste déjà longue de piratages ciblant les plateformes de cryptomonnaies et les projets blockchain. Selon les données de CertiK, les acteurs nord-coréens auraient été responsables d’environ 2 milliards de dollars de pertes en cryptomonnaies en 2025, soit près de 60 % des 3,4 milliards de dollars volés lors d’exploits cette année-là. Ces chiffres illustrent une tendance inquiétante : la Corée du Nord a transformé le vol de cryptomonnaies en une source de revenus systématique, intégrant ces activités dans sa stratégie économique nationale.

Les rapports indiquent que depuis 2016, les acteurs nord-coréens auraient dérobé environ 6,75 milliards de dollars en cryptomonnaies à travers 263 incidents documentés. Cette somme colossale représente une part significative des revenus de la Corée du Nord, souvent isolée économiquement et soumise à des sanctions internationales. Le vol de cryptomonnaies offre à Pyongyang un moyen de contourner ces restrictions et de financer ses programmes militaires et technologiques, malgré les pressions diplomatiques.

Le piratage de Humanity Protocol s’inscrit dans cette dynamique. Les attaquants ont non seulement ciblé une plateforme prometteuse dans le domaine de l’identité décentralisée, mais ils ont également utilisé des méthodes sophistiquées pour maximiser leurs gains. La récupération des clés privées d’un portefeuille MetaMask haut placé montre que les pirates ont planifié leur attaque avec soin, en exploitant des failles humaines et techniques pour atteindre leurs objectifs.

Les leçons à tirer pour les entreprises du secteur blockchain et des cryptomonnaies

Ce piratage rappelle l’importance cruciale de la cybersécurité dans l’écosystème blockchain. Les entreprises doivent adopter une approche proactive pour protéger leurs actifs numériques et leurs systèmes internes. Plusieurs mesures peuvent être mises en place pour réduire les risques d’intrusion :

1. Sensibilisation et formation des employés : Les campagnes de phishing restent l’une des principales portes d’entrée pour les attaquants. Former régulièrement les employés à reconnaître les emails suspects, éviter les pièces jointes non sollicitées et signaler les activités inhabituelles est essentiel. Des simulations d’attaques par phishing peuvent également aider à tester la réactivité des équipes.

2. Renforcement des contrôles d’accès : Limiter les privilèges des employés aux seules ressources nécessaires à leur travail réduit la surface d’attaque. L’utilisation de mots de passe robustes, de l’authentification multifactorielle (MFA) et de solutions de gestion des identités et des accès (IAM) peut empêcher les attaquants de progresser une fois infiltrés.

3. Surveillance des activités suspectes : Les solutions de détection et de réponse (EDR) peuvent identifier les comportements anormaux sur les terminaux, comme l’installation de malwares ou l’exfiltration de données. Une surveillance en temps réel permet de réagir rapidement aux intrusions.

4. Gestion des portefeuilles et des clés privées : Les clés privées doivent être stockées dans des environnements sécurisés, comme des coffres-forts numériques ou des modules de sécurité matérielle (HSM). Les employés ne doivent jamais les stocker sur des appareils connectés à Internet ou dans des portefeuilles logiciels non sécurisés.

5. Collaboration avec des experts en cybersécurité : Faire appel à des sociétés spécialisées dans la sécurité blockchain, comme Quantstamp, peut fournir une expertise précieuse pour auditer les systèmes, identifier les vulnérabilités et mettre en place des contre-mesures adaptées.

Une réponse rapide et transparente : Humanity Protocol face à l’incident

Humanity Protocol a réagi rapidement à l’incident en publiant un rapport détaillé avec l’aide de Quantstamp. L’entreprise a confirmé que l’attaque avait été contenue et que les systèmes critiques n’avaient pas été compromis au-delà de la compromission initiale. Les tokens volés ont été identifiés sur plusieurs adresses blockchain, et des efforts sont en cours pour tracer et potentiellement geler ces fonds, en collaboration avec les plateformes d’échange et les autorités compétentes.

L’entreprise a également pris des mesures immédiates pour renforcer sa cybersécurité, notamment en révoquant les accès compromis, en réinitialisant les clés privées et en mettant à jour ses protocoles de sécurité. Humanity Protocol a également informé ses utilisateurs et ses partenaires de l’incident, démontrant une transparence qui peut aider à restaurer la confiance dans le projet.

Cette réaction illustre l’importance de la communication en cas d’incident de sécurité. Une réponse transparente et proactive permet non seulement de limiter les dommages réputationnels, mais aussi de rassurer les parties prenantes sur la capacité de l’entreprise à gérer les crises.

Le rôle croissant des États dans la cybersécurité des cryptomonnaies

L’implication présumée d’acteurs soutenus par l’État nord-coréen dans le piratage de Humanity Protocol soulève des questions plus larges sur le rôle des gouvernements dans la cybersécurité des cryptomonnaies. Les États-Unis, l’Union européenne et d’autres pays ont commencé à renforcer leurs cadres réglementaires pour lutter contre le vol de cryptomonnaies et le blanchiment d’argent. Des initiatives comme le groupe de travail FATF (Financial Action Task Force) visent à imposer des normes strictes aux plateformes d’échange et aux projets blockchain pour améliorer la traçabilité des transactions.

Cependant, la nature transnationale des cryptomonnaies rend difficile l’application de ces réglementations. Les acteurs malveillants peuvent opérer depuis des juridictions peu coopératives, rendant les enquêtes et les poursuites complexes. Les entreprises du secteur doivent donc collaborer étroitement avec les autorités pour partager des informations sur les menaces et les tactiques utilisées par les pirates.

En outre, les gouvernements pourraient jouer un rôle plus actif en soutenant le développement de solutions technologiques pour lutter contre la fraude. Par exemple, des outils d’analyse blockchain avancés, capables de tracer les flux de cryptomonnaies en temps réel, pourraient aider à identifier et à bloquer les transactions suspectes avant qu’elles ne soient converties en monnaies fiduciaires.

Perspectives : vers une cybersécurité plus résiliente dans l’écosystème blockchain

Le piratage de Humanity Protocol est un rappel brutal que l’écosystème blockchain reste une cible privilégiée pour les cybercriminels, en particulier pour les groupes soutenus par des États. Pour contrer cette menace, une approche multidimensionnelle est nécessaire, combinant sensibilisation, technologie et collaboration.

Les entreprises doivent investir dans des solutions de sécurité avancées, telles que l’intelligence artificielle pour la détection des anomalies, les blockchains avec des mécanismes de consensus plus sécurisés, et des protocoles d’identité décentralisée robustes. Parallèlement, les régulateurs doivent continuer à renforcer les cadres juridiques pour dissuader les activités illicites et encourager les bonnes pratiques.

Enfin, la communauté blockchain doit adopter une culture de la transparence et de la responsabilité. Les incidents comme celui de Humanity Protocol montrent que les failles de sécurité peuvent avoir des conséquences financières et réputationnelles graves. En apprenant de ces événements et en partageant les leçons tirées, l’écosystème peut devenir plus résilient et mieux préparé aux défis futurs.

Pour les investisseurs et les utilisateurs, il est essentiel de rester vigilant. Vérifier les projets avant d’y investir, utiliser des portefeuilles sécurisés et suivre les bonnes pratiques en matière de cybersécurité sont des étapes cruciales pour protéger ses actifs numériques. La vigilance et la proactivité restent les meilleurs remparts contre les attaques toujours plus sophistiquées des cybercriminels.