Autor: ZachXBT, Crypto Detective;

Překlad: zlaté finance xiaozou

Jeden tým mě nedávno požádal o pomoc poté, co někdo ukradl 1,3 milionu dolarů z jejich trezoru prostřednictvím škodlivého kódu.

Co tým nevěděl, bylo, že najal několik severokorejských IT pracovníků s falešnou identitou jako vývojáře.

Poté jsem objevil nejméně 25 krypto projektů spojených s těmito vývojáři, které jsou aktivní od června 2024.

Způsoby praní špinavých peněz v tomto incidentu jsou následující:

1) Převod 1,3 milionu dolarů na odcizenou adresu

2) Přemostit 1,3 milionu dolarů ze Solana do Etherea přes deBridge

3) Vložte 50,2 ETH na Tornado

4) Převeďte 16,5 ETH na dvě burzy

Ukradená adresa je:

6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet

Pomocí několika platebních adres od 21 vývojářů se mi podařilo zmapovat nedávný shluk plateb ve výši přibližně 375 000 USD za poslední měsíc.

0 xb721adfc3d9fe01e9b3332183665a503447b1d35

Během minulého týdne jste možná také viděli, že jsem tyto projekty požádal, aby mě kontaktovaly přímo.

Dříve proudilo 5,5 milionu dolarů na devizovou depozitní adresu, která zahrnovala platby přijaté severokorejským IT personálem od července 2023 do roku 2024. Adresa byla spojena s osobou, na kterou byly uvaleny sankce OFAC, Sim Hyon Sop.

0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014

Během vyšetřování bylo zjištěno několik zajímavých věcí:

- Russian Telecom IP používají vývojáři ve Spojených státech a Malajsii.

- Ve vývojovém deníku omylem odhalili své další identity v poznámkovém bloku.

- Vytvořte platební adresy zahrnující Sang Man Kim a Sim Hyon Sop, kteří jsou na sankčním seznamu OFAC.

- Někteří vývojáři jsou umístěni náborovými společnostmi.

- Více projektů má více než 3 vzájemně doporučené IT pracovníky.

Mnoho zkušených týmů zaměstnává tyto vývojáře, takže je nespravedlivé je označovat za viníky.

Některé týmy pro metriky, na které se mohou zaměřit, zahrnují:

1) Role, které si navzájem doporučují

2) Krásný životopis/aktivita na GitHubu, i když někdy lže o pracovních zkušenostech.

3) Často se zdá, že rádi podstoupí KYC, ale předloží falešné ID v naději, že tým nebude dále vyšetřovat.

4) Zeptejte se na konkrétní otázky o tom, odkud tvrdí, že jsou.

5) Vývojář je vyhozen, ale okamžitě se objeví několik nových účtů, které hledají práci.

6) Na první pohled můžete vypadat jako dobrý vývojář, ale v práci často podáváte špatný výkon.

7) Zobrazit protokoly

8) Rád používám populární NFT pfps

9) Asijský přízvuk

Pro případ, že patříte k lidem, kteří vše, co je obviňováno na Severní Koreu, označují za obří spiknutí.

Bez ohledu na to tato studie dokazuje:

V Asii může jeden subjekt pracovat na více než 25 projektech současně a vydělávat 300 000 až 500 000 $ měsíčně používáním falešných identit.

Následná akce:

Krátce po zveřejnění tohoto článku jiný projekt zjistil, že najal severokorejského IT pracovníka uvedeného na mém seznamu (Naoki Murano) a vedení projektu sdílelo můj článek ve svém chatu.

Jak se ukázalo, během pouhých dvou minut Naoki opustil chat a smazal svůj Github.