Humanity Protocol: come un attacco phishing da 36 milioni di dollari rivela la mano della Corea del Nord

Un falso aggiornamento di Bithumb, uno dei principali exchange sudcoreani, ha aperto la strada a uno dei più recenti e sofisticati attacchi informatici ai danni del mondo delle criptovalute. Secondo l’analisi di Quantstamp, società specializzata nella sicurezza blockchain, l’attacco che ha portato al furto di 36 milioni di dollari in token Humanity (H) sarebbe stato orchestrato da hacker legati alla Corea del Nord. La dinamica dell’attacco rivela non solo l’elevato livello di sofisticazione delle operazioni di cybercrime finanziato da Pyongyang, ma anche la crescente vulnerabilità delle infrastrutture decentralizzate, sempre più prese di mira per il loro valore economico e la relativa immaturità dei sistemi di sicurezza.

L’episodio si inserisce in un contesto globale in cui le criptovalute rappresentano un obiettivo primario per gruppi criminali e Stati-nazione, alla ricerca di fonti di finanziamento alternative e difficilmente tracciabili. La Corea del Nord, in particolare, ha sviluppato nel tempo una vera e propria industria del cybercrime, trasformando il furto di criptovalute in una strategia sistematica per eludere le sanzioni internazionali e finanziare il proprio regime. L’attacco a Humanity Protocol non è un caso isolato, ma si allinea a una serie di operazioni analoghe che, secondo i dati di CertiK, hanno permesso a questi attori di sottrarre circa 2 miliardi di dollari nel 2025, pari al 12% di tutti gli exploit registrati nello stesso periodo. La portata di queste attività sottolinea l’urgenza di rafforzare le misure di sicurezza non solo a livello aziendale, ma anche normativo, per contrastare un fenomeno che rischia di minare la fiducia nel settore delle criptovalute.

La catena dell’attacco: dall’email al furto dei token

L’inizio dell’attacco risale a un falso aggiornamento del token lockup di Bithumb, inviato tramite email a un dipendente di Humanity Protocol. L’email, apparentemente legittima, conteneva un allegato malevolo che, una volta aperto, ha installato un malware sul dispositivo della vittima. Questo software dannoso ha fornito agli attaccanti l’accesso remoto completo al laptop compromesso, permettendo loro di monitorare le attività dell’utente e di raccogliere informazioni sensibili. Secondo Quantstamp, l’attacco è stato possibile grazie a una compromissione iniziale dell’endpoint, che ha poi aperto la porta a una catena di esfiltrazione dei dati.

Il malware utilizzato nell’attacco è stato firmato con un certificato digitale sudcoreano di Hancom, un dettaglio che, secondo gli analisti, rappresenta un pattern caratteristico delle intrusioni attribuite alla Corea del Nord. Questo elemento tecnico, unito alla sofisticazione dell’operazione, suggerisce che dietro l’attacco ci sia un attore statale con risorse e competenze avanzate. Gli attaccanti sono riusciti a ottenere le credenziali e le chiavi private del wallet MetaMask di Chong Yee Wai, uno dei direttori di Humanity Protocol, permettendo loro di trasferire i token rubati in modo rapido e irreversibile. La velocità con cui sono stati spostati i fondi evidenzia la preparazione degli attaccanti, che hanno agito in modo coordinato per massimizzare i profitti prima che la compromissione fosse rilevata.

Le tecniche di social engineering e l’uso di certificati falsi

L’uso di un certificato digitale legittimo, apparentemente rilasciato da un’azienda sudcoreana, rappresenta una tecnica avanzata di social engineering. Gli attaccanti hanno sfruttato la fiducia che gli utenti ripongono nei certificati digitali per bypassare i controlli di sicurezza e indurre la vittima a eseguire il file malevolo. Questo metodo è particolarmente insidioso perché si basa su elementi apparentemente affidabili, come la firma digitale di un’azienda nota, per convincere l’utente ad aprire l’allegato. Nel caso specifico, l’email fingeva di essere un aggiornamento ufficiale di Bithumb, un exchange ampiamente riconosciuto nel settore, il che ha aumentato le probabilità di successo dell’attacco.

La scoperta del certificato Hancom firmato dagli attaccanti è un elemento chiave per attribuire l’operazione alla Corea del Nord. Secondo le analisi di sicurezza, gruppi come Lazarus, legati a Pyongyang, sono noti per utilizzare certificati rubati o falsificati per firmare malware, in modo da renderlo più credibile agli occhi delle vittime. Questo approccio non solo aumenta l’efficacia dell’attacco, ma rende anche più difficile per le forze dell’ordine e gli analisti di sicurezza tracciare l’origine dell’attacco. La capacità di ottenere e utilizzare certificati legittimi dimostra un livello di sofisticazione che va ben oltre le capacità di un semplice gruppo criminale, suggerendo un coinvolgimento diretto o indiretto di strutture statali.

Il contesto globale: criptovalute come obiettivo strategico

L’attacco a Humanity Protocol non è un episodio isolato, ma si inserisce in un pattern più ampio di attacchi informatici ai danni delle criptovalute. Secondo i dati di CertiK, nel 2025 i gruppi legati alla Corea del Nord sono stati responsabili del 12% di tutti gli exploit registrati, per un valore totale di circa 2 miliardi di dollari. Questi numeri rappresentano una tendenza preoccupante, soprattutto se si considera che, solo ad aprile 2026, gli attacchi hanno portato al furto di 578 milioni di dollari su un totale di 634 milioni. La Corea del Nord, in particolare, ha trasformato il cybercrime in una vera e propria industria, utilizzando le criptovalute come principale fonte di finanziamento per eludere le sanzioni internazionali.

Questo fenomeno non riguarda solo la Corea del Nord. Altri Stati-nazione, come Russia e Iran, hanno sviluppato capacità simili, utilizzando attacchi informatici per finanziare le proprie attività o per destabilizzare avversari geopolitici. Tuttavia, la Corea del Nord si distingue per la sistematicità e la portata delle sue operazioni. Secondo le stime, negli ultimi dieci anni, gli attori nordcoreani hanno sottratto circa 6,75 miliardi di dollari in criptovalute, attraverso 263 incidenti documentati. Questi numeri non solo evidenziano l’attrattività delle criptovalute come obiettivo, ma anche la vulnerabilità del settore, che continua a essere caratterizzato da sistemi di sicurezza immaturi e da una scarsa consapevolezza delle minacce tra gli utenti.

Le implicazioni per Humanity Protocol e il settore delle criptovalute

Per Humanity Protocol, l’attacco rappresenta un duro colpo sia dal punto di vista economico che reputazionale. Il furto di 36 milioni di dollari in token H non solo comporta una perdita finanziaria diretta, ma rischia anche di minare la fiducia degli investitori e degli utenti nel progetto. La compromissione di un dipendente, poi, solleva interrogativi sulla solidità dei protocolli di sicurezza interni e sulla formazione del personale. In un settore in cui la sicurezza è un fattore critico di successo, un episodio del genere può avere ripercussioni durature sulla reputazione di un progetto.

Dal punto di vista del settore, l’attacco sottolinea la necessità di adottare misure di sicurezza più robuste e di investire in formazione e consapevolezza. Le criptovalute e la blockchain offrono opportunità senza precedenti, ma il loro successo dipende dalla fiducia degli utenti. Un singolo attacco può avere effetti a catena, influenzando non solo la singola piattaforma colpita, ma anche l’intero ecosistema. Per questo motivo, è fondamentale che le aziende del settore adottino best practice di sicurezza, come la multi-autenticazione, la crittografia avanzata e la sorveglianza continua delle attività sospette.

Le contromisure: come proteggersi da attacchi simili

Per le aziende e gli utenti che operano nel settore delle criptovalute, l’attacco a Humanity Protocol rappresenta un campanello d’allarme. La prima linea di difesa rimane la formazione del personale, soprattutto per quanto riguarda il riconoscimento delle email di phishing e l’uso sicuro dei dispositivi. Gli utenti devono essere consapevoli dei rischi legati all’apertura di allegati o al clic su link provenienti da mittenti sconosciuti, soprattutto se questi sembrano provenire da fonti affidabili come exchange o partner commerciali.

Dal punto di vista tecnico, le aziende dovrebbero implementare soluzioni di sicurezza avanzate, come sistemi di rilevamento delle intrusioni, analisi comportamentale degli endpoint e gestione centralizzata delle identità. L’uso di certificati digitali e firme di codice dovrebbe essere monitorato attentamente, con controlli periodici per verificare la legittimità di ogni certificato utilizzato. Inoltre, le aziende dovrebbero adottare politiche di sicurezza rigorose, come la limitazione dei privilegi di accesso e la segmentazione della rete, per ridurre l’impatto di eventuali compromissioni.

Il ruolo delle autorità e la lotta al cybercrime finanziato da Stati

L’attacco a Humanity Protocol solleva anche questioni più ampie relative al ruolo delle autorità nella lotta al cybercrime finanziato da Stati-nazione. La Corea del Nord, in particolare, rappresenta una sfida complessa per la comunità internazionale, poiché le sue operazioni sono spesso condotte attraverso reti di intermediari e strutture opache. Tuttavia, la crescente consapevolezza del problema ha portato a un aumento delle collaborazioni tra governi, forze dell’ordine e aziende private per contrastare queste minacce.

Negli ultimi anni, diverse iniziative sono state lanciate per tracciare e sequestrare fondi rubati, con risultati incoraggianti. Tuttavia, la natura decentralizzata delle criptovalute rende ancora difficile il recupero dei fondi una volta che questi sono stati spostati attraverso mixer o exchange non cooperativi. Per questo motivo, è fondamentale che la comunità internazionale continui a lavorare su soluzioni normative e tecnologiche per rendere più difficile il riciclaggio di criptovalute e per aumentare la pressione sugli Stati che finanziano il cybercrime.

Cosa aspettarsi nei prossimi mesi

Nei prossimi mesi, è probabile che assisteremo a un aumento degli attacchi mirati alle infrastrutture decentralizzate, soprattutto in vista dell’adozione sempre più diffusa delle criptovalute. Gli attaccanti, sia criminali che Stati-nazione, continueranno a sfruttare le vulnerabilità delle piattaforme e la scarsa consapevolezza degli utenti per portare avanti le proprie operazioni. Per Humanity Protocol, la sfida sarà duplice: da un lato, dovrà ricostruire la fiducia degli utenti e degli investitori, dall’altro, dovrà rafforzare i propri protocolli di sicurezza per prevenire futuri attacchi.

Per il settore nel suo complesso, l’episodio rappresenta un’opportunità per riflettere sulle proprie debolezze e per adottare misure concrete per migliorare la sicurezza. Le aziende dovranno investire in tecnologie avanzate, formazione e collaborazione con le autorità per proteggere i propri asset e quelli dei propri utenti. Solo attraverso un approccio olistico e coordinato sarà possibile contrastare la crescente minaccia rappresentata dal cybercrime finanziato da Stati-nazione e garantire un futuro sicuro per le criptovalute.