Cryptonews

Северокорейские ИТ-специалисты годами работали в рамках протоколов DeFi, предупреждает исследователь

Источник
cryptonewstrend.com
Опубликовано
Северокорейские ИТ-специалисты годами работали в рамках протоколов DeFi, предупреждает исследователь

Связанные с Северной Кореей операторы потратили годы на тихую интеграцию в криптофирмы и команды DeFi, что вызвало новые опасения по поводу инсайдерских рисков после серии дорогостоящих эксплойтов, связанных с кибераппаратом страны.

Исследователь безопасности и разработчик MetaMask Тейлор Монахан сказал, что эта тактика восходит к заре децентрализованных финансов, когда люди, связанные с Корейской Народно-Демократической Республикой, вносили свой вклад в несколько широко используемых протоколов.

«Многие ИТ-специалисты КНДР создавали протоколы, которые вы знаете и любите, еще во времена лета DeFi», — сказала она в воскресенье, добавив, что более 40 платформ, включая несколько известных проектов, в какой-то момент полагались на таких разработчиков.

Однако она отметила, что «семилетний опыт разработки блокчейнов», указанный в их резюме, «не является ложью».

Следователи уже давно связывают кибероперации Северной Кореи с Lazarus Group, поддерживаемой государством группой, которая, как полагают аналитики R3ACH, с 2017 года украла около 7 миллиардов долларов в цифровых активах.

Группа была связана с некоторыми из крупнейших взломов в отрасли, включая эксплойт Ronin Bridge стоимостью 625 миллионов долларов в 2022 году, взлом WazirX стоимостью 235 миллионов долларов в 2024 году и инцидент с Bybit стоимостью 1,4 миллиарда долларов в 2025 году.

Северокорейские актеры стоят за эксплойтом Drift

Эксплойт протокола Drift Protocol стоимостью 280 миллионов долларов, произошедший на прошлой неделе, привлек новое внимание. В проекте заявили, что имеют «средне-высокую степень уверенности» в том, что за нападением стоит группа, связанная с государством Северной Кореи, связывая инцидент с более широкой схемой проникновения и социальной инженерии.

Однако личные встречи, которые привели к взлому, проводились не с гражданами Северной Кореи, а скорее с «сторонними посредниками», использующими «полностью сконструированные личности, включая историю трудоустройства, публичные полномочия и профессиональные сети».

Эти профили включали историю трудоустройства, публичные полномочия и активные профессиональные сети, что позволяло им завоевывать доверие посредством личного общения до того, как произойдет эксплойт.

Независимый исследователь блокчейнов ZachXBT предупредил в недавнем посте X, что не все угрозы, связанные с Северной Кореей, действуют на одинаковом уровне сложности.

«Главная проблема в том, что все группируют их вместе, когда сложность угроз разная», — сказал он.

Он описал многие попытки проникновения как относительно простые, основанные на настойчивости, а не на технической сложности. Информационно-пропагандистская деятельность посредством объявлений о вакансиях, LinkedIn, электронной почты, звонков в Zoom и процессов собеседований остается распространенным явлением.

«Простой и ни в коей мере не сложный […] единственное, что в этом есть, это то, что они неумолимы», — сказал он, добавив, что команды, продолжающие поддаваться такой тактике в 2026 году, рискуют показаться небрежными.