Nedávné tweety odborníka na kybernetickou bezpečnost ZachXBT naznačují, že probíhá sofistikované schéma zahrnující severokorejské IT pracovníky vydávající se za vývojáře kryptoměn.
Operace vedla ke krádeži 1,3 milionu dolarů z pokladny projektu a odhalila síť více než 25 kompromitovaných krypto projektů aktivních od června 2024.
Výzkum společnosti ZachXBT silně naznačuje, že jediný subjekt v Asii, pravděpodobně působící mimo Severní Koreu, dostává 300 000 až 500 000 $ měsíčně za souběžnou práci na více než 25 krypto projektech využívajících falešné identity.
6/ Řada zkušených týmů si tyto vývojáře najala, takže není spravedlivé, aby byli vinni pouze oni. Některé indikátory, které mohou týmy v budoucnu sledovat, zahrnují: 1) Navzájem se odkazují na role 2) Dobře vypadající životopisy / aktivita GitHubu, i když někdy lžou…
— ZachXBT (@zachxbt) 15. srpna 2024
Také by se vám mohlo líbit: Úřady EU zatkli podezřelé z hackování holografu za 14 milionů dolarů
Schéma krádeží a praní
Incident začal, když veřejně anonymní tým požádal ZachXBT o pomoc poté, co bylo z jejich pokladny ukradeno 1,3 milionu dolarů. Aniž by to věděli, najali několik severokorejských IT pracovníků, kteří používali falešné identity k infiltraci týmu.
Ukradené finanční prostředky v celkové výši 1,3 milionu USD byly rychle vyprány prostřednictvím sledu transakcí, včetně převodu na adresu krádeže, přemostění z (SOL) do Etherea (ETH) přes deBridge, uložení 50,2 ETH do Tornado Cash a nakonec převod 16,5 ETH na dvě různé výměny.
Také by se vám mohlo líbit: Americká vláda poslala na Coinbase bitcoiny Silk Road v hodnotě 594 milionů dolarů
Mapování sítě
Další vyšetřování odhalilo, že zákeřní vývojáři byli součástí větší sítě. Sledováním více platebních adres vyšetřovatel zmapoval shluk 21 vývojářů, kteří jen za poslední měsíc obdrželi přibližně 375 000 dolarů.
Vyšetřování také propojilo tyto aktivity s předchozími transakcemi v celkové výši 5,5 milionu USD, které od července 2023 do roku 2024 proudily na depozitní adresu.
Tyto platby byly spojeny se severokorejskými IT pracovníky a Sim Hyon Sopem, osobou schválenou Úřadem pro kontrolu zahraničních aktiv (OFAC). Během vyšetřování vyšlo najevo několik souvisejících aktivit, včetně případů překrývání IP ruského Telecomu mezi vývojáři, kteří údajně sídlili v USA a Malajsii.
Navíc jeden vývojář při nahrávání omylem odhalil jiné identity. Další vyšetřování odhalilo, že platební adresy byly úzce propojeny s adresami osob schválených OFAC, jako jsou Sang Man Kim a Sim Hyon Sop.
Zapojení náborových společností do umisťování některých vývojářů situaci zkomplikovalo. Několik projektů navíc zaměstnávalo nejméně tři severokorejské IT pracovníky, kteří se navzájem doporučovali.
Také by se vám mohlo líbit: Vitalik Buterin věnoval 532 000 $ ve formě „zvířecích mincí“ na charitu
Preventivní opatření
ZachXBT poukázal na to, že mnoho zkušených týmů si neúmyslně najalo klamavé vývojáře, takže není úplně fér vinit týmy. Existuje však několik opatření, která mohou týmy přijmout, aby se v budoucnu ochránily.
Tato opatření zahrnují obezřetnost vůči vývojářům, kteří se navzájem odkazují na role, prověřování životopisů, důkladné ověřování informací KYC, kladení podrobných dotazů na místa nárokovaných vývojářů, sledování vývojářů, kteří jsou propuštěni a poté se znovu objevují pod novými účty, sledování poklesu výkonu. v průběhu času pravidelně kontrolujte protokoly, zda neobsahují anomálie, dávejte si pozor na vývojáře používající oblíbené profilové obrázky NFT a všímejte si potenciálních jazykových přízvuků, které by mohly naznačovat původ v Asii.