Autor: ZachXBT, Krypto-Detektiv;
Übersetzung: Golden Finance Xiaozou
Ein Team hat mich kürzlich um Hilfe gebeten, nachdem jemand durch bösartigen Code 1,3 Millionen US-Dollar aus seinem Tresor gestohlen hatte.
Was das Team nicht wusste, war, dass es mehrere nordkoreanische IT-Mitarbeiter mit falschen Identitäten als Entwickler anstellte.
Ich habe dann mindestens 25 mit diesen Entwicklern verbundene Krypto-Projekte entdeckt, die seit Juni 2024 aktiv sind.
Die Geldwäschemethoden in diesem Vorfall sind wie folgt:
1) Überweisung von 1,3 Millionen US-Dollar an eine gestohlene Adresse
2) Überbrücken Sie 1,3 Millionen US-Dollar von Solana zu Ethereum über deBridge
3) Zahlen Sie 50,2 ETH bei Tornado ein
4) Übertragen Sie 16,5 ETH an zwei Börsen
Die gestohlene Adresse lautet:
6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet
Anhand mehrerer Zahlungsadressen von 21 Entwicklern konnte ich im letzten Monat einen aktuellen Zahlungscluster von rund 375.000 US-Dollar ermitteln.
0 xb721adfc3d9fe01e9b3332183665a503447b1d35
In der letzten Woche haben Sie vielleicht auch gesehen, dass ich diese Projekte gebeten habe, mich direkt zu kontaktieren.
Zuvor flossen 5,5 Millionen US-Dollar an eine Deviseneinzahlungsadresse, die Zahlungen enthielt, die nordkoreanisches IT-Personal von Juli 2023 bis 2024 erhalten hatte. Die Adresse war mit der von der OFAC sanktionierten Person Sim Hyon Sop verknüpft.
0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014
Bei der Untersuchung wurden einige interessante Dinge entdeckt:
- Russisches Telekommunikations-IP wird von Entwicklern in den Vereinigten Staaten und Malaysia verwendet.
- Im Entwicklungsprotokoll haben sie versehentlich ihre anderen Identitäten auf dem Notizblock preisgegeben.
- Entwickeln Sie Zahlungsadressen, an denen Sang Man Kim und Sim Hyon Sop beteiligt sind, die auf der OFAC-Sanktionsliste stehen.
- Einige Entwickler werden von Personalvermittlungsunternehmen vermittelt.
- Mehrere Projekte haben mehr als drei gegenseitig empfohlene IT-Mitarbeiter.
Viele erfahrene Teams beschäftigen diese Entwickler, daher ist es unfair, sie als Schuldige herauszustellen.
Einige Metrikteams, auf die sie sich künftig konzentrieren können, sind unter anderem:
1) Die Rollen, die sie sich gegenseitig empfehlen
2) Schöner Lebenslauf/GitHub-Aktivität, wenn auch manchmal Lügen über Berufserfahrung.
3) Scheint oft bereit zu sein, sich einer KYC-Prüfung zu unterziehen, reicht aber einen gefälschten Ausweis ein, in der Hoffnung, dass das Team keine weiteren Nachforschungen anstellt.
4) Stellen Sie konkrete Fragen dazu, woher sie angeblich kommen.
5) Ein Entwickler wird entlassen, aber sofort erscheinen mehrere neue Accounts auf der Suche nach Arbeit.
6) Auf den ersten Blick scheinen Sie ein guter Entwickler zu sein, aber bei der Arbeit erbringen Sie oft schlechte Leistungen.
7) Protokolle anzeigen
8) Ich verwende gerne beliebte NFT-PFPS
9) Asiatischer Akzent
Nur für den Fall, dass Sie zu den Leuten gehören, die alles, was Nordkorea angelastet wird, als riesige Verschwörung bezeichnen.
Unabhängig davon beweist diese Studie:
In Asien kann ein Unternehmen unter Verwendung einer gefälschten Identität an mehr als 25 Projekten gleichzeitig arbeiten und dabei 300.000 bis 500.000 US-Dollar pro Monat verdienen.
Nachverfolgen:
Kurz nachdem dieser Artikel veröffentlicht wurde, stellte ein anderes Projekt fest, dass es einen auf meiner Liste aufgeführten nordkoreanischen IT-Mitarbeiter (Naoki Murano) eingestellt hatte, und die Projektleitung teilte meinen Artikel in ihrem Chat.
Wie sich herausstellte, beendete Naoki innerhalb von nur zwei Minuten den Chat und löschte seinen Github.
