Auteur : ZachXBT, détective crypto Traduction : Golden Finance xiaozou ;
Une équipe a récemment demandé mon aide après que quelqu'un ait volé 1,3 million de dollars dans son coffre-fort grâce à un code malveillant.
Ce que l'équipe ne savait pas, c'est qu'elle avait embauché plusieurs informaticiens nord-coréens sous de fausses identités en tant que développeurs.
J’ai alors découvert au moins 25 projets crypto associés à ces développeurs et actifs depuis juin 2024.
Les méthodes de blanchiment d'argent dans cet incident sont les suivantes :
1) Transférer 1,3 million de dollars vers une adresse volée
2) Pont de 1,3 million de dollars de Solana à Ethereum via deBridge
3) Déposez 50,2 ETH sur Tornado
4) Transférez 16,5 ETH vers deux bourses
L'adresse volée est :
6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet
En utilisant plusieurs adresses de paiement de 21 développeurs, j'ai pu cartographier un récent cluster de paiement d'environ 375 000 $ au cours du mois dernier.
0 xb721adfc3d9fe01e9b3332183665a503447b1d35
Au cours de la semaine dernière, vous avez peut-être également vu que j'ai demandé à ces projets de me contacter directement.
Auparavant, 5,5 millions de dollars avaient été versés à une adresse de dépôt en devises qui comprenait les paiements reçus par le personnel informatique nord-coréen de juillet 2023 à 2024. L'adresse était liée à la personne sanctionnée par l'OFAC, Sim Hyon Sop.
0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014
Certaines choses intéressantes ont été découvertes au cours de l’enquête :
- Russian Telecom IP est utilisé par des développeurs aux États-Unis et en Malaisie.
- Dans le journal de développement, ils ont accidentellement révélé leurs autres identités sur le bloc-notes.
- Développer des adresses de paiement impliquant Sang Man Kim et Sim Hyon Sop qui figurent sur la liste des sanctions de l'OFAC.
- Certains développeurs sont placés par des sociétés de recrutement.
- Plusieurs projets comptent plus de 3 membres du personnel informatique mutuellement recommandés.
De nombreuses équipes expérimentées emploient ces développeurs, il est donc injuste de les désigner comme coupables.
Certaines équipes de mesures sur lesquelles les équipes peuvent se concentrer à l’avenir incluent :
1) Les rôles qu’ils se recommandent
2) Belle activité de CV/GitHub, même si elle ment parfois sur l'expérience professionnelle.
3) Semblent souvent heureux de subir le KYC, mais soumettent une fausse pièce d'identité dans l'espoir que l'équipe n'enquêtera pas davantage.
4) Posez des questions spécifiques sur l'endroit d'où ils prétendent venir.
5) Un développeur est licencié, mais immédiatement plusieurs nouveaux comptes apparaissent à la recherche de travail.
6) Vous pouvez sembler être un bon développeur à première vue, mais vous avez souvent de mauvais résultats au travail.
7) Afficher les journaux
8) J’aime utiliser les pfps NFT populaires
9) Accent asiatique
Juste au cas où vous feriez partie de ceux qui qualifient de conspiration géante tout ce qui est imputé à la Corée du Nord.
Quoi qu’il en soit, cette étude prouve :
En Asie, une entité peut travailler sur plus de 25 projets simultanément et gagner entre 300 000 et 500 000 dollars par mois en utilisant de fausses identités.
Suivi:
Peu de temps après la publication de cet article, un autre projet a découvert qu'il avait embauché un informaticien nord-coréen figurant sur ma liste (Naoki Murano), et la direction du projet a partagé mon article dans son chat.
Il s'est avéré qu'en seulement deux minutes, Naoki a quitté le chat et supprimé son Github.
