Thomas Daniels
Onlangse bevindings deur die kuberveiligheidskenner ZachXBT het 'n gesofistikeerde diefstal- en witwasseryskema ontbloot wat Noord-Koreaanse IT-werkers wat hulle as kripto-ontwikkelaars voordoen. Die operasie, wat gelei het tot die diefstal van $1.3 miljoen uit 'n projek se tesourie, het 'n netwerk van meer as 25 gekompromitteerde kriptoprojekte wat sedert Junie 2024 aktief is, blootgelê.
ZachXBT se ondersoek dui op 'n enkele entiteit, wat waarskynlik uit Noord-Korea werk, wat maandeliks tussen $300,000 en $500,000 ontvang het deur gelyktydig verskeie kripto-projekte te infiltreer deur vals identiteite te gebruik.
Die Diefstal- en Wasseryskema
Die voorval het aan die lig gekom toe ’n anonieme projekspan ZachXBT se hulp gevra het nadat $1.3 miljoen uit hul tesourie gesteel is. Onbewus daarvan het die span verskeie Noord-Koreaanse IT-werkers gehuur wat valse identiteite gebruik het om by die projek aan te sluit.
Die gesteelde fondse is vinnig gewas deur 'n reeks komplekse transaksies. Dit het ingesluit die oordrag van die fondse na 'n diefstaladres, die oorbrugging van bates van Solana na Ethereum via deBridge, die deposito van 50.2 ETH in Tornado Cash, en uiteindelik die oordrag van 16.5 ETH na twee verskillende beurse.
Kartering van die netwerk
Verdere ondersoek het aan die lig gebring dat hierdie ontwikkelaars deel was van 'n groter, georganiseerde netwerk. ZachXBT het verskeie betalingsadresse opgespoor en 'n groep van 21 ontwikkelaars ontbloot wat gesamentlik ongeveer $375,000 die afgelope maand alleen ontvang het.
Hierdie ondersoek het ook die huidige aktiwiteite gekoppel aan vorige transaksies ten bedrae van $5.5 miljoen, wat tussen Julie 2023 en 2024 in 'n ruildeposito-adres ingevoer is. Hierdie transaksies was verbind met Noord-Koreaanse IT-werkers en Sim Hyon Sop, 'n syfer wat reeds deur die VSA goedgekeur is Tesourie se kantoor vir buitelandse batesbeheer (OFAC). Die ondersoek het aan die lig gebring oor oorvleuelings in IP-adresse wat met Russian Telecom geassosieer word, selfs al het die ontwikkelaars beweer dat hulle in die VSA en Maleisië gebaseer is.
In een geval het 'n ontwikkelaar per ongeluk ander identiteite blootgelê terwyl dit opgeneem is, wat gelei het tot verdere verbindings tussen betalingsadresse en OFAC-gesanksioneerde individue, insluitend Sang Man Kim en Sim Hyon Sop. Die ondersoek het ook die rol van werwingsmaatskappye in die plasing van hierdie ontwikkelaars uitgelig, wat nog 'n laag van kompleksiteit bygevoeg het. Sommige projekte het ten minste drie Noord-Koreaanse IT-werkers in diens gehad wat mekaar verwys het, wat die netwerk se infiltrasie verdiep het.
Voorkomende maatreëls
ZachXBT het beklemtoon dat baie ervare spanne onwetend misleidende ontwikkelaars aangestel het, wat dit onregverdig maak om net die spanne te blameer. Daar is egter verskeie voorkomende maatreëls wat kan help om teen sulke bedreigings te beskerm. Dit sluit in:
- Wees versigtig wanneer ontwikkelaars mekaar vir rolle verwys.
- Ondersoek CV's en verifieer KYC-inligting deeglik.
- Vra gedetailleerde vrae oor ontwikkelaars se opgeëiste liggings.
- Monitering vir ontwikkelaars wat weer onder nuwe rekeninge verskyn nadat hulle afgedank is.
- Kyk vir 'n afname in prestasie met verloop van tyd.
- Hersien logboeke gereeld vir afwykings.
- Wees versigtig vir ontwikkelaars wat gewilde NFT-profielfoto's gebruik.
- Let op taalaksente wat oorsprong in Asië kan voorstel.
Hierdie stappe is noodsaaklik om kriptoprojekte teen soortgelyke bedreigings in die toekoms te beskerm.
