Северокорейские разработчики годами внедрялись в крупнейшие DeFi-протоколы

Семь лет скрытого присутствия

Разработчица MetaMask Тейлор Монахан раскрыла масштабы проникновения северокорейских IT-специалистов в индустрию децентрализованных финансов. По её словам, агенты КНДР устраивались на работу в DeFi-проекты на протяжении как минимум семи лет — начиная с эпохи так называемого «лета DeFi».

«Множество IT-работников из КНДР создавали протоколы, которые вы знаете и любите, ещё со времён лета DeFi. Семь лет опыта блокчейн-разработки в их резюме — не обман» — Tay 💖 (@tayvano_), оригинальный пост

Монахан перечислила ряд проектов, в которых работали лица, связанные с КНДР: SushiSwap, Thorchain, Fantom, Shib, Yearn, Floki и множество других.

Почему это важно

Масштаб инфильтрации северокорейских разработчиков в криптоиндустрию ставит под вопрос безопасность кодовой базы десятков популярных протоколов. Если люди, связанные с государственными хакерскими структурами, годами имели доступ к исходному коду, это создаёт потенциальные уязвимости, которые могут быть использованы для атак. Обсуждение развернулось на фоне отчёта команды Drift Protocol, которая подверглась взлому на $280 млн — за атакой, по заявлению разработчиков, стояли хакеры из Северной Кореи.

Как выявляют агентов: история с Lazarus Group

Публикация Монахан стала ответом на рассказ основателя Solana-агрегатора Titan Тима Ахла. Тот сообщил, что на предыдущем месте работы проводил собеседование с кандидатом, который впоследствии оказался членом группировки Lazarus Group. По словам Ахла, кандидат демонстрировал высокую квалификацию и без проблем выходил на видеозвонки, однако отказался от личной встречи, после чего его кандидатуру отклонили. Позже имя этого человека появилось в утечке данных, связанных с Lazarus. Ахл также указал, что у группировки теперь есть агенты не из Северной Кореи, которые лично входят в доверие к командам проектов.

ZachXBT: угрозы различаются по сложности

Блокчейн-детектив ZachXBT, неоднократно освещавший тему киберугроз со стороны КНДР, присоединился к дискуссии. Он пояснил, что Lazarus Group — это собирательное обозначение для всех кибергруппировок, действующих при поддержке Северной Кореи.

«Главная проблема в том, что все объединяют их в одну группу, хотя сложность угроз у них разная» — ZachXBT (@zachxbt), оригинальный пост

По оценке ZachXBT, такие методы, как подложные вакансии, сообщения в LinkedIn, фишинговые письма, звонки через Zoom и фиктивные собеседования, являются «простыми и примитивными» схемами. Их главная сила — настойчивость. Распознать подобного мошенника сегодня, по его мнению, не составляет большого труда. Действительно сложные атаки осуществляют лишь две группировки: TraderTraitor и AppleJeus.

Инструменты проверки и защиты

Для противодействия угрозе существуют специализированные ресурсы. OFAC при Министерстве финансов США поддерживает сайт, где криптокомпании могут проверять контрагентов по санкционным спискам и знакомиться с типовыми мошенническими схемами, применяемыми IT-специалистами из КНДР.

Тейлор Монахан разработала на GitHub открытую базу знаний, содержащую исследовательские материалы о деятельности Северной Кореи в сфере цифровых активов. ZachXBT рекомендовал этот ресурс как ценный источник информации.

«@tayvano_ создала отличный ресурс на GitHub — настоящий кладезь знаний о деятельности КНДР, собранный из множества источников» — ZachXBT (@zachxbt), оригинальный пост

Ранее, в марте, группировку Lazarus заподозрили в атаке на криптовалютный интернет-магазин Bitrefill.