Die jüngsten Tweets des Cybersicherheitsexperten ZachXBT deuten darauf hin, dass hier ein ausgeklügeltes Komplott im Gange ist, bei dem sich nordkoreanische IT-Mitarbeiter als Krypto-Entwickler ausgeben.
Die Operation führte zum Diebstahl von 1,3 Millionen US-Dollar aus der Projektkasse und deckte ein Netzwerk von über 25 kompromittierten Kryptoprojekten auf, die seit Juni 2024 aktiv sind.
Die Untersuchungen von ZachXBT deuten stark darauf hin, dass ein einzelnes Unternehmen in Asien, das wahrscheinlich von Nordkorea aus operiert, 300.000 bis 500.000 US-Dollar pro Monat verdient, indem es unter falschen Identitäten gleichzeitig an über 25 Kryptoprojekten arbeitet.
6/ Eine Reihe erfahrener Teams haben diese Entwickler eingestellt, daher ist es nicht fair, ihnen allein die Schuld zu geben. Einige Indikatoren, auf die Teams in Zukunft achten können, sind: 1) Sie empfehlen sich gegenseitig für Rollen. 2) Gut aussehende Lebensläufe / GitHub-Aktivität, obwohl manchmal gelogen wird …
– ZachXBT (@zachxbt), 15. August 2024
Das könnte Sie auch interessieren: EU-Behörden fassen Verdächtige im Holograph-Hack im Wert von 14 Millionen US-Dollar
Das Diebstahl- und Geldwäschesystem
Der Vorfall begann, als ein öffentlich anonymes Team ZachXBT um Hilfe bat, nachdem 1,3 Millionen Dollar aus ihrer Kasse gestohlen worden waren. Ohne ihr Wissen hatten sie mehrere nordkoreanische IT-Mitarbeiter angeheuert, die sich unter falschen Identitäten in das Team eingeschlichen hatten.
Die gestohlenen Gelder im Gesamtwert von 1,3 Millionen US-Dollar wurden durch eine Reihe von Transaktionen schnell gewaschen. Dazu gehörten die Überweisung an eine Diebstahlsadresse, die Überbrückung von (SOL) zu Ethereum (ETH) über deBridge, die Einzahlung von 50,2 ETH auf Tornado Cash und schließlich die Überweisung von 16,5 ETH an zwei verschiedene Börsen.
Das könnte Sie auch interessieren: US-Regierung schickte Silk Road Bitcoin im Wert von 594 Millionen Dollar an Coinbase
Abbildung des Netzwerks
Weitere Untersuchungen ergaben, dass die böswilligen Entwickler Teil eines größeren Netzwerks waren. Durch die Verfolgung mehrerer Zahlungsadressen konnte der Ermittler eine Gruppe von 21 Entwicklern identifizieren, die allein im letzten Monat etwa 375.000 US-Dollar erhalten hatten.
Die Untersuchung brachte diese Aktivitäten auch mit früheren Transaktionen in Höhe von insgesamt 5,5 Millionen US-Dollar in Verbindung, die von Juli 2023 bis 2024 auf eine Einzahlungsadresse einer Börse flossen.
Diese Zahlungen standen im Zusammenhang mit nordkoreanischen IT-Mitarbeitern und Sim Hyon Sop, einer Person, die vom Office of Foreign Assets Control (OFAC) sanktioniert wurde. Während der Untersuchung kamen mehrere besorgniserregende Aktivitäten ans Licht, darunter Fälle von Überschneidungen des russischen Telekommunikations-IP bei Entwicklern, die Berichten zufolge in den USA und Malaysia ansässig waren.
Darüber hinaus hat ein Entwickler während der Aufzeichnung versehentlich andere Identitäten preisgegeben. Weitere Untersuchungen ergaben, dass die Zahlungsadressen eng mit denen von OFAC-Sanktionen betroffenen Personen wie Sang Man Kim und Sim Hyon Sop verknüpft waren.
Die Einschaltung von Personalvermittlungsfirmen bei der Vermittlung einiger Entwickler machte die Situation noch komplizierter. Darüber hinaus waren bei mehreren Projekten mindestens drei nordkoreanische IT-Mitarbeiter beschäftigt, die sich gegenseitig vermittelt hatten.
Das könnte Ihnen auch gefallen: Vitalik Buterin spendete 532.000 Dollar in „Animal Coins“ für wohltätige Zwecke
Vorbeugende Maßnahmen
ZachXBT wies darauf hin, dass viele erfahrene Teams versehentlich betrügerische Entwickler eingestellt haben, sodass es nicht ganz fair ist, den Teams die Schuld zu geben. Es gibt jedoch mehrere Maßnahmen, die Teams ergreifen können, um sich in Zukunft zu schützen.
Zu diesen Maßnahmen gehört es, bei Entwicklern, die sich gegenseitig für Rollen empfehlen, vorsichtig zu sein, Lebensläufe genau zu prüfen, KYC-Informationen gründlich zu verifizieren, detaillierte Fragen zu den angegebenen Standorten der Entwickler zu stellen, auf Entwickler zu achten, die entlassen werden und dann unter neuen Konten wieder auftauchen, auf einen Leistungsabfall im Laufe der Zeit zu achten, Protokolle regelmäßig auf Anomalien zu prüfen, bei Entwicklern, die beliebte NFT-Profilbilder verwenden, vorsichtig zu sein und auf mögliche Sprachakzente zu achten, die auf eine asiatische Herkunft hinweisen könnten.