Nordkoreanische Arbeiter infiltrieren DeFi seit 7 Jahren: Forscher
Laut einem Cybersicherheitsanalysten engagieren sich nordkoreanische IT-Mitarbeiter seit mindestens sieben Jahren in Kryptounternehmen und dezentralen Finanzprojekten.
„Viele IT-Mitarbeiter der DVRK haben die Protokolle entwickelt, die Sie kennen und lieben, bis zum DeFi-Sommer“, sagte MetaMask-Entwickler und Sicherheitsforscher Taylor Monahan am Sonntag.
Monahan behauptete, dass bei über 40 DeFi-Plattformen, darunter einige bekannte Namen, nordkoreanische IT-Mitarbeiter an ihren Protokollen gearbeitet hätten.
Die „sieben Jahre Erfahrung in der Blockchain-Entwicklung“ in ihrem Lebenslauf seien „keine Lüge“, fügte sie hinzu.
Laut Analysten des Creator-Netzwerks R3ACH ist die Lazarus Group ein mit Nordkorea verbundenes Hacker-Kollektiv, das seit 2017 Kryptowährungen im Wert von schätzungsweise 7 Milliarden US-Dollar gestohlen hat.
Es wurde mit den bekanntesten Hacks der Branche in Verbindung gebracht, darunter dem Ronin-Bridge-Exploit im Wert von 625 Millionen US-Dollar im Jahr 2022, dem WazirX-Hack im Wert von 235 Millionen US-Dollar im Jahr 2024 und dem Bybit-Raub im Wert von 1,4 Milliarden US-Dollar im Jahr 2025.
Monahans Kommentare kamen nur wenige Stunden, nachdem das Drift-Protokoll erklärt hatte, es habe „mittleres bis hohes Vertrauen“, dass der jüngste 280-Millionen-Dollar-Exploit gegen das Protokoll von einer mit dem nordkoreanischen Staat verbundenen Gruppe durchgeführt wurde.
DeFi-Führungskräfte äußern sich zu Infiltrationsversuchen der DVRK
Tim Ahhl, Gründer von Titan Exchange, einem in Solana ansässigen DEX-Aggregator, sagte, dass wir in einem früheren Job „jemanden interviewt haben, der sich als Lazarus-Agent herausstellte“.
Ahhl sagte, der Kandidat habe „Videoanrufe geführt und sei äußerst qualifiziert.“ Er lehnte ein persönliches Interview ab und später entdeckten sie seinen Namen in einem „Info-Dump“ von Lazarus.
Das US Office of Foreign Assets Control verfügt über eine Website, auf der Kryptounternehmen Gegenparteien anhand aktualisierter OFAC-Sanktionslisten überprüfen und auf Muster im Zusammenhang mit IT-Betrug achten können.
Zeitleiste des Angriffs der Lazarus-Gruppe. Quelle: R3ACH-Netzwerk
Verwandt: Drift Protocol sagt, dass der 280-Millionen-Dollar-Exploit „monatelange bewusste Vorbereitung“ erforderte
Drift-Protokoll, das von Drittvermittlern der DVRK ins Visier genommen wird
Die Obduktion des Drift Protocol zum 280-Millionen-Dollar-Exploit der letzten Woche wies auch darauf hin, dass mit Nordkorea verbundene Hacker für den Angriff verantwortlich waren.
Es hieß jedoch, dass die persönlichen Treffen, die schließlich zu dem Exploit führten, nicht mit nordkoreanischen Staatsangehörigen stattgefunden hätten, sondern eher mit „Drittvermittlern“ mit „vollständig konstruierten Identitäten, einschließlich Beschäftigungshistorien, öffentlich zugänglichen Referenzen und beruflichen Netzwerken“.
„Jahre später sieht es so aus, als hätte Lazarus jetzt Nicht-NKs [Nordkoreaner] für sich arbeiten lassen, um Menschen persönlich zu betrügen“, sagte Ahhl.
Drohungen durch Vorstellungsgespräche sind nicht ausgefeilt
Die Lazarus Group ist der Sammelbegriff für „alle staatlich geförderten Cyber-Akteure der DVRK“, erklärte der Blockchain-Experte ZachXBT am Sonntag.
„Das Hauptproblem besteht darin, dass jeder sie alle zusammenfasst, wenn die Komplexität der Bedrohungen unterschiedlich ist“, fügte er hinzu.
ZachXBT sagte, dass Bedrohungen über Stellenausschreibungen, LinkedIn, E-Mail, Zoom oder Vorstellungsgespräche „grundlegend und in keiner Weise anspruchsvoll“ seien … das Einzige daran sei, dass sie unerbittlich seien.
„Wenn Sie oder Ihr Team im Jahr 2026 immer noch auf sie hereinfallen, sind Sie höchstwahrscheinlich fahrlässig“, sagte er.
Es gibt zwei Arten von Angriffsvektoren, von denen einer ausgefeilter ist als der andere. Quelle: ZachXBT
Magazin: Kein 85-prozentiger Bitcoin-Zusammenbruch mehr, Taiwan braucht BTC-Kriegsreserve: Hodler’s Digest