Ataque de US$ 36 milhões ao Humanity Protocol ligado a hackers norte-coreanos

Em junho de 2026, o Humanity Protocol, uma plataforma de identidade descentralizada, anunciou um prejuízo de US$ 36 milhões após um ataque cibernético que resultou no roubo de tokens Humanity (H). A investigação conduzida pela Quantstamp, empresa especializada em segurança blockchain, revelou que o incidente teve origem em um email de phishing cuidadosamente elaborado para se passar por uma comunicação oficial da Bithumb, uma das maiores corretoras de criptomoedas da Coreia do Sul. O ataque não apenas expôs vulnerabilidades técnicas, mas também levantou suspeitas de envolvimento de atores patrocinados pelo Estado norte-coreano, um padrão cada vez mais comum em grandes roubos de criptomoedas nos últimos anos.

O email fraudulento continha um anexo malicioso que, ao ser aberto, instalou um malware no laptop de um funcionário do Humanity Protocol. Esse malware não só concedeu acesso remoto total ao dispositivo como também permitiu que os invasores copiassem as credenciais e chaves privadas da carteira MetaMask de Chong Yee Wai, diretor da empresa. A assinatura digital do malware, emitida por uma autoridade certificadora sul-coreana chamada Hancom, foi identificada pela Quantstamp como um indicador típico de operações associadas à Coreia do Norte. Essa assinatura, segundo a análise, é frequentemente utilizada por grupos de hackers patrocinados pelo regime norte-coreano em suas campanhas de ciberespionagem e roubo de criptomoedas.

O padrão de ataque não é isolado. Nos últimos anos, grupos como o Lazarus, ligado à Coreia do Norte, têm se destacado por sua sofisticação e capacidade de explorar falhas humanas e técnicas em empresas de blockchain. De acordo com dados da CertiK, em 2025, esses grupos foram responsáveis por cerca de US$ 2 bilhões dos US$ 3,4 bilhões roubados em incidentes envolvendo criptomoedas, representando 12% de todos os casos registrados. Além disso, desde 2016, estima-se que atores norte-coreanos tenham desviado aproximadamente US$ 6,75 bilhões em criptomoedas por meio de 263 incidentes documentados. Esses números não apenas refletem a escala das operações, mas também a industrialização desse tipo de crime como uma fonte significativa de receita para o regime de Pyongyang.

Como o ataque foi executado: do phishing ao roubo de tokens

O ponto de entrada do ataque foi um email de phishing que se passava por uma atualização de cronograma de lockup de tokens da Bithumb, uma prática comum em ecossistemas de criptomoedas onde exchanges e projetos realizam bloqueios temporários de ativos para garantir liquidez ou segurança. O email, cuidadosamente redigido para imitar a comunicação oficial da corretora, continha um anexo em formato PDF ou documento que, ao ser aberto, ativava um payload malicioso. Esse payload instalava um Remote Access Trojan (RAT), permitindo que os invasores assumissem controle total sobre o dispositivo infectado.

Uma vez dentro do sistema, os atacantes tiveram acesso irrestrito ao ambiente de trabalho do funcionário, incluindo navegadores, carteiras de criptomoedas e outras ferramentas sensíveis. O alvo principal foi a carteira MetaMask do diretor Chong Yee Wai, cujas credenciais e chaves privadas foram copiadas. Com esses dados, os invasores puderam autorizar transações e transferir os tokens Humanity (H) para carteiras controladas por eles. O processo foi rápido e eficiente, demonstrando a precisão com que esses grupos operam. Além disso, a assinatura digital do malware com um certificado da Hancom reforçou a suspeita de envolvimento de atores norte-coreanos, já que esse tipo de tática é frequentemente associado a campanhas patrocinadas pelo Estado.

Esse método de ataque não é novo, mas sua eficácia continua alta devido à dependência humana em processos de segurança. Mesmo em empresas com protocolos avançados de cibersegurança, um único erro — como abrir um anexo suspeito — pode comprometer toda a infraestrutura. No caso do Humanity Protocol, a falta de segmentação adequada das credenciais da carteira e a ausência de autenticação multifator para transações críticas facilitaram a ação dos invasores. Esses pontos são críticos para empresas que lidam com ativos digitais, onde o controle de acesso e a segregação de funções são essenciais para mitigar riscos.

O papel da Coreia do Norte em roubos de criptomoedas: uma indústria de crime cibernético

A ligação entre o ataque ao Humanity Protocol e a Coreia do Norte não é surpreendente, mas reforça um padrão preocupante. Segundo relatórios de segurança, grupos como o Lazarus, Andariel e BlueNoroff, todos ligados ao regime de Pyongyang, têm se especializado em roubar criptomoedas para financiar programas nucleares e mísseis, contornando sanções internacionais. Em abril de 2026, apenas um mês antes do incidente, esses grupos foram responsáveis por US$ 578 milhões dos US$ 634 milhões roubados em ataques relacionados a criptomoedas, segundo dados citados pela Quantstamp.

O que torna esses grupos particularmente perigosos é sua capacidade de operar em escala industrial. Eles não apenas visam exchanges ou projetos individuais, mas também exploram vulnerabilidades em toda a cadeia de suprimentos de criptomoedas, desde carteiras até smart contracts. Além disso, a Coreia do Norte tem investido em infraestrutura de ciberataque, recrutando talentos locais e utilizando técnicas avançadas de engenharia social para maximizar o impacto de suas operações. A assinatura digital com certificado sul-coreano, como a da Hancom, é uma assinatura típica desses grupos, que buscam camuflar suas atividades como originárias de fontes legítimas.

Outro aspecto relevante é a forma como esses grupos monetizam os ativos roubados. Em vez de vender os tokens imediatamente, eles frequentemente os convertem em moedas mais difíceis de rastrear, como Monero, ou os movimentam por meio de uma rede de carteiras intermediárias para dificultar a recuperação pelos afetados. Essa estratégia não só protege os invasores, mas também permite que eles operem com relativa impunidade, já que a rastreabilidade em blockchains públicos nem sempre é suficiente para identificar os responsáveis em tempo hábil.

Lições para empresas de blockchain e exchanges: como se proteger

O ataque ao Humanity Protocol serve como um alerta para empresas que atuam no ecossistema de blockchain e criptomoedas. Embora a sofisticação dos invasores seja alta, muitas das falhas exploradas poderiam ter sido evitadas com medidas básicas de segurança. Primeiramente, a conscientização dos funcionários sobre phishing e engenharia social é fundamental. Treinamentos regulares e simulações de ataques podem reduzir significativamente o risco de comprometimento inicial. Além disso, a implementação de autenticação multifator (MFA) para todas as carteiras e sistemas críticos é uma camada adicional de proteção que pode impedir que invasores acessem credenciais mesmo após um phishing bem-sucedido.

A segmentação de privilégios também é crucial. No caso do Humanity Protocol, o acesso irrestrito a uma carteira de diretor permitiu que os invasores realizassem transações sem barreiras. Empresas devem adotar políticas de menor privilégio, garantindo que apenas pessoal autorizado e em circunstâncias específicas possa acessar carteiras ou realizar transferências. Além disso, o uso de hardware wallets ou soluções de assinatura múltipla (multi-signature) para transações financeiras pode adicionar uma camada extra de segurança, exigindo múltiplas aprovações para movimentações de grande valor.

Outra medida importante é a monitoração contínua de atividades suspeitas. Ferramentas de detecção de intrusão e análise de comportamento podem identificar padrões incomuns, como acessos fora do horário comercial ou transferências não autorizadas. Empresas também devem manter backups seguros e testados de todas as chaves privadas e credenciais, garantindo que possam recuperar o controle de seus ativos mesmo após um incidente. Por fim, a colaboração com empresas especializadas em segurança blockchain, como a Quantstamp, pode fornecer insights valiosos sobre ameaças emergentes e melhores práticas para mitigar riscos.

Impacto no mercado de criptomoedas e na confiança do ecossistema

O roubo de US$ 36 milhões do Humanity Protocol não é apenas um prejuízo financeiro para a empresa e seus investidores, mas também um golpe na confiança do mercado. Incidentes como esse reforçam a percepção de que o ecossistema de criptomoedas ainda é vulnerável a ataques sofisticados, especialmente quando se trata de segurança operacional e humana. Para investidores, isso pode significar uma maior aversão a projetos que não demonstram práticas robustas de segurança, levando a uma desvalorização temporária ou permanente de tokens e ativos associados.

Além disso, o envolvimento de atores patrocinados pelo Estado norte-coreano adiciona uma camada geopolítica ao incidente. Governos e reguladores podem usar casos como esse para justificar medidas mais rígidas de controle sobre exchanges e projetos de blockchain, argumentando que a falta de supervisão adequada facilita atividades ilícitas. Isso poderia resultar em um ambiente regulatório mais restritivo, afetando a inovação e a adoção de tecnologias descentralizadas. Por outro lado, incidentes como esse também podem acelerar a adoção de soluções de segurança mais avançadas, como identidade descentralizada baseada em blockchain ou protocolos de segurança integrados nativamente em smart contracts.

Para o Humanity Protocol, o caminho para a recuperação envolverá não apenas a recuperação dos tokens roubados — o que é improvável, dado o uso de técnicas de lavagem de dinheiro — mas também a reconstrução da confiança de seus usuários e parceiros. A empresa precisará demonstrar transparência em sua resposta ao incidente, incluindo auditorias de segurança independentes e a implementação de medidas corretivas robustas. Além disso, a colaboração com autoridades e empresas de segurança pode ajudar a rastrear os ativos roubados e, potencialmente, recuperá-los.

O futuro da segurança em blockchain: tendências e desafios

O ataque ao Humanity Protocol destaca a necessidade de evoluir constantemente as estratégias de segurança no espaço de blockchain. Uma das tendências emergentes é o uso de inteligência artificial e machine learning para detectar e prevenir ataques em tempo real. Essas tecnologias podem analisar padrões de comportamento, identificar atividades suspeitas e até mesmo prever possíveis vetores de ataque antes que eles sejam explorados. Além disso, soluções baseadas em blockchain, como identidade descentralizada e armazenamento seguro de chaves, estão ganhando tração como formas de reduzir a dependência de sistemas centralizados, que são alvos frequentes de invasores.

No entanto, os desafios persistem. A descentralização, embora seja uma força do ecossistema blockchain, também pode ser uma fraqueza quando se trata de segurança. Em um ambiente onde não há uma autoridade central para supervisionar transações, a responsabilidade pela segurança recai inteiramente sobre os usuários e as empresas. Isso exige um nível de diligência que muitas vezes não é alcançado, especialmente em projetos menores ou startups com recursos limitados. Além disso, a rápida evolução das técnicas de ataque, como o uso de deepfakes para engenharia social ou exploração de vulnerabilidades em smart contracts, exige que as empresas de segurança e os projetos de blockchain estejam sempre um passo à frente.

Outro ponto crítico é a colaboração internacional. Dado que muitos desses ataques são orquestrados por grupos patrocinados por Estados, a cooperação entre governos, agências de segurança e empresas privadas é essencial para rastrear e combater essas atividades. Iniciativas como o Grupo de Ação Financeira Internacional (GAFI) já estabeleceram diretrizes para combater a lavagem de dinheiro envolvendo criptomoedas, mas a implementação efetiva ainda é um desafio. Projetos de blockchain que operam em múltiplas jurisdições devem estar cientes das regulamentações locais e globais para evitar sanções e garantir a conformidade.

O que os usuários podem fazer para se proteger

Embora incidentes como o do Humanity Protocol afetem principalmente empresas e projetos de blockchain, os usuários individuais também devem tomar medidas para proteger seus ativos. A primeira e mais importante é a adoção de carteiras seguras, como hardware wallets ou soluções de multi-assinatura, que reduzem o risco de comprometimento de chaves privadas. Além disso, os usuários devem sempre verificar a autenticidade de emails e comunicações, especialmente aqueles que solicitam ações como clicar em links ou baixar anexos. A verificação de domínios e o uso de ferramentas como verificadores de phishing podem ajudar a identificar tentativas de fraude.

Outra prática recomendada é a diversificação de ativos e o uso de exchanges confiáveis para armazenamento temporário de criptomoedas. Embora exchanges tenham sido alvos frequentes de ataques, muitas delas agora implementam medidas avançadas de segurança, como cold storage e autenticação multifator. Os usuários também devem manter seus softwares atualizados, incluindo carteiras e sistemas operacionais, para evitar exploração de vulnerabilidades conhecidas. Por fim, a educação continuada sobre segurança cibernética é fundamental. Participar de workshops, ler relatórios de segurança e seguir fontes confiáveis pode ajudar os usuários a se manterem informados sobre as últimas ameaças e melhores práticas.

Conclusão

O ataque ao Humanity Protocol é mais um exemplo de como o ecossistema de blockchain continua a ser um alvo atraente para atores maliciosos, especialmente aqueles ligados a Estados patrocinadores de cibercrime. Embora a sofisticação dos invasores seja alarmante, a maioria dos incidentes poderia ser evitada com práticas básicas de segurança. Para empresas, isso significa investir em treinamento, automação de segurança e colaboração com especialistas. Para usuários, a responsabilidade recai sobre a adoção de ferramentas seguras e a vigilância constante. O futuro da segurança em blockchain dependerá não apenas da inovação tecnológica, mas também da capacidade de toda a indústria de se adaptar rapidamente a ameaças cada vez mais complexas.