Недавние твиты эксперта по кибербезопасности ZachXBT указывают на то, что существует сложная схема с участием северокорейских ИТ-специалистов, выдающих себя за разработчиков криптовалют.
Операция привела к краже 1,3 млн долларов из казны проекта и раскрыла сеть из более чем 25 скомпрометированных криптопроектов, активных с июня 2024 года.
Исследование ZachXBT убедительно свидетельствует о том, что одна организация в Азии, вероятно, действующая из Северной Кореи, получает от 300 000 до 500 000 долларов США в месяц, одновременно работая над более чем 25 криптопроектами, используя поддельные личности.
6/ Ряд опытных команд наняли этих разработчиков, поэтому несправедливо обвинять только их. Вот некоторые показатели, на которые команды могут обратить внимание в будущем: 1) Они рекомендуют друг друга на должности 2) Красивые резюме / Активность на GitHub, хотя иногда и лгут…
— ZachXBT (@zachxbt) 15 августа 2024 г.
Вам также может понравиться: Власти ЕС арестовали подозреваемых в взломе Holograph на сумму 14 млн долларов
Схема кражи и отмывания денег
Инцидент начался, когда публично анонимная команда обратилась за помощью к ZachXBT после того, как из их казны украли 1,3 млн долларов. Незаметно для себя они наняли нескольких северокорейских ИТ-специалистов, которые использовали поддельные личности, чтобы проникнуть в команду.
Украденные средства на общую сумму 1,3 миллиона долларов были быстро отмыты с помощью серии транзакций, включая перевод на адрес кражи, переход с (SOL) на Ethereum (ETH) через deBridge, внесение 50,2 ETH на Tornado Cash и в конечном итоге перевод 16,5 ETH на две разные биржи.
Вам также может понравиться: Правительство США перевело биткоины Silk Road на сумму 594 млн долларов в Coinbase
Картографирование сети
Дальнейшее расследование показало, что вредоносные разработчики были частью более крупной сети. Отслеживая несколько платежных адресов, следователь выявил кластер из 21 разработчика, которые получили около 375 000 долларов только за последний месяц.
Расследование также связало эти действия с предыдущими транзакциями на общую сумму 5,5 млн долларов США, которые поступили на адрес биржевого депозита с июля 2023 по 2024 год.
Эти платежи были связаны с северокорейскими IT-работниками и Сим Хён Сопом, фигурой, находящейся под санкциями Управления по контролю за иностранными активами (OFAC). В ходе расследования было выявлено несколько тревожных действий, включая случаи перекрытия IP-адресов российских телекоммуникационных компаний среди разработчиков, которые, как сообщается, находились в США и Малайзии.
Кроме того, один разработчик случайно раскрыл другие личности во время записи. Дальнейшие расследования показали, что платежные адреса были тесно связаны с адресами лиц, находящихся под санкциями OFAC, таких как Сан Ман Ким и Сим Хён Соп.
Ситуацию усложнило участие рекрутинговых компаний в трудоустройстве некоторых разработчиков. Кроме того, в нескольких проектах было задействовано не менее трех северокорейских ИТ-специалистов, которые рекомендовали друг друга.
Вам также может понравиться: Виталик Бутерин пожертвовал 532 тыс. долларов в виде «монет с изображением животных» на благотворительность
Профилактические меры
ZachXBT указал, что многие опытные команды непреднамеренно нанимали разработчиков-мошенников, поэтому не совсем справедливо обвинять команды. Однако есть несколько мер, которые команды могут предпринять, чтобы защитить себя в будущем.
Эти меры включают в себя осторожность в отношении разработчиков, которые рекомендуют друг друга на должности, тщательное изучение резюме, тщательную проверку информации KYC, постановку подробных вопросов о заявленном разработчиками местоположении, отслеживание разработчиков, которые были уволены, а затем снова появились под новыми учетными записями, отслеживание снижения производительности с течением времени, регулярный просмотр журналов на предмет аномалий, осторожность в отношении разработчиков, использующих популярные фотографии профиля NFT, и отслеживание возможных языковых акцентов, которые могут указывать на азиатское происхождение.