Investigație privind furtul de fonduri din proiecte cripto
Investigatorul blockchain ZachXBT a publicat informații referitoare la dezvoltatori nord-coreeni care ar fi furat 1,3 milioane de dolari din trezoreria unui proiect. Furtul a fost realizat de către dezvoltatori angajați cu identități false, care au injectat cod malițios în sistem, permițând transferul neautorizat de fonduri.
Schema lucrătorilor din domeniul cripto
ZachXBT a explicat că fondurile furate au fost inițial trimise către o adresă de furt și apoi transferate de la Solana la Ethereum prin intermediul platformei deBridge. Suma de 50,2 ETH a fost depusă în Tornado Cash, un mixer cripto care ascunde urmele tranzacțiilor. Ulterior, 16,5 ETH au fost transferați către două exchange-uri.
Conform lui ZachXBT, din iunie 2024, lucrătorii IT nord-coreeni au infiltrat peste 25 de proiecte cripto folosind multiple adrese de plată. El a menționat că ar putea exista o entitate unică în Asia, probabil bazată în Coreea de Nord, care primește între 300.000 și 500.000 de dolari lunar, angajând cel puțin 21 de lucrători în diferite proiecte cripto.
Analiza detaliată a cazului
O analiză suplimentară a relevat faptul că, înainte de acest incident, 5,5 milioane de dolari au fost direcționați către o adresă de depunere a unui exchange, legată de plăți efectuate către lucrătorii IT nord-coreeni între iulie 2023 și iulie 2024. Aceste plăți au fost asociate cu Sim Hyon Sop, o persoană sancționată de Oficiul pentru Controlul Activelor Străine al SUA (OFAC).
Investigația lui ZachXBT a examinat mai profund mai multe erori și tipare neobișnuite făcute de actorii malițioși. Au existat suprapuneri IP între dezvoltatori care, se presupune, erau bazați în SUA și Malaezia, precum și scurgeri accidentale de identități alternative în timpul sesiunilor înregistrate.
Reacția și măsurile de prevenire
După incident, ZachXBT a contactat proiectele afectate și le-a sfătuit să își revizuiască jurnalele și să efectueze verificări de fond mai amănunțite. De asemenea, el a menționat câteva semnale de alarmă pe care echipele le pot monitoriza, cum ar fi recomandările pentru roluri din partea altor dezvoltatori, inconsistența în istoricul profesional și CV-urile sau profilele GitHub foarte bine pregătite.
Creșterea criminalității cibernetice în Coreea de Nord
Între timp, grupurile legate de Coreea de Nord sunt asociate de mult timp cu criminalitatea cibernetică. Tactica lor include adesea scheme de phishing, exploatarea vulnerabilităților software-ului, acces neautorizat la sisteme, furtul cheilor private și chiar infiltrarea organizațiilor în persoană.
Una dintre cele mai infame organizații, Lazarus Group, ar fi furat peste 3 miliarde de dolari în active cripto între 2017 și 2023. În 2022, guvernul SUA a avertizat cu privire la numărul în creștere de lucrători nord-coreeni care obțin roluri freelance în domeniul tehnologiei, în special în sectorul cripto.