Крипто-ігрова книга Північної Кореї тепер охоплює фальшивих розробників, контакти конференцій та великі експлуатації DeFi, що проникають глибоко в індустрію.
Експлуатація цього місяця на суму 285 мільйонів доларів на Drift, децентралізованій біржі (DEX), була найбільшою крипто-атакою за понад рік, коли біржа Bybit втратила 1,4 мільярда доларів. Північнокорейські державні хакери були названі головними підозрюваними в обидвох атаках.
У минулому осінньому сезоні атакувальники видавали себе за квантитативну торговельну фірму та підходили до команди протоколу Drift особисто на великій крипто-конференції, заявила Drift в XpostSunday.
“Тепер зрозуміло, що це видається цілеспрямованим підходом, де особи з цієї групи продовжували свідомо шукати та взаємодіяти з конкретними учасниками Drift, особисто, на кількох великих галузевих конференціях у кількох країнах протягом наступних шести місяців”, заявила DEX.
До цього часу північнокорейські кібер-шпигуни націлювалися на крипто-фірми в Інтернеті, через віртуальні дзвінки та віддалену роботу. Особистий підхід на конференції зазвичай не викликав би підозр, але експлуатація Drift повинна бути достатньою для учасників, щоб переглянути зв’язки, встановлені на недавніх заходах.
Фірма з блокчейн-форензіки TRM Labs описала інцидент як найбільшу експлуатацію DeFi в 2026 році (на даний момент) та другу за величиною експлуатацію в історії Solana, одразу після хакування мосту Wormhole на суму 326 мільйонів доларів у 2022 році.
Перший контакт датується приблизно шістьма місяцями тому, але сама експлуатація відноситься до середини березня, згідно з TRM. Атакувальник розпочав рух коштів з Tornado Cash та розгорнув токен CarbonVote (CVT), одночасно використовуючи соціальну інженерію, щоб переконати підписантів мультипідпису схвалити транзакції, які надавали підвищені права.
Потім вони створили авторитет для CVT, карбуючи велику кількість та надувши торгівельну активність, щоб симулювати справжній попит. Оракули Drift виявили сигнал та обробили токен як законний актив.
Коли попередньо схвалені транзакції були виконані 1 квітня, CVT був прийнятий як застава, підвищені ліміти виведення коштів та виведення коштів у реальні активи, включаючи USDC.
Відносно: Північнокорейський шпигун допустив помилку, розкрив зв’язки на фальшивому робочому інтерв’ю За даними TRM, швидкість та агресивність наступного відмивання перевищили ті, що були в хакуванні Bybit.
Північну Корею широко вважають країною, яка використовує великомасштабне крипто-відмивання, наприклад, атаки на Drift та Bybit, поряд з довгостроковими тактиками, включаючи розміщення оперативників у віддалених ролях у технологічних та крипто-фірмах для генерації стабільного доходу. Рада Безпеки ООН заявила, що такі фонди використовуються для підтримки програми озброєння країни.
Дослідник безпеки Тейлор Монахан заявив, що проникнення в протоколи DeFi датується “літнім дефі-літом”, додавши, що близько 40 протоколів мали контакт з підозрюваними оперативниками КНДР.
Північнокорейські державні ЗМІ повідомили у четвер, що країна провела випробування електромагнітної зброї та короткочасної балістичної ракети, відомої як Hwasong-11, оснащеної касетними бойовими частинами.
Відокремлене розслідування показало, як мережа північнокорейських ІТ-робітників, пов’язаних з країною, генерувала мільйони через тривале проникнення.
Дані, отримані від анонімного джерела, поділеного ZachXBT, показали, що мережа видавала себе за розробників та вбудовувалася в крипто- та технологічні фірми, генеруючи приблизно 1 мільйон доларів на місяць та понад 3,5 мільйона доларів з листопада.
Група забезпечила собі роботу, використовуючи фальшиві особистості, маршрутизувала платежі через спільну систему, потім конвертувала фонди в фіат та надсилала їх на китайські банківські рахунки через платформи, такі як Payoneer.
Відносно: Ви фрілансер? Північнокорейські шпигуни можуть використовувати вас Операція спиралася на базову інфраструктуру, включаючи спільний веб-сайт з загальним паролем та внутрішні таблиці лідерів, що відстежують заробіток.
Агенти подали заявки на посади відкрито, використовуючи VPN та фальшиві документи, вказуючи на довгострокову стратегію вбудовування оперативників для отримання стабільного доходу.
Cointelegraph зустрів схожу схему у розслідуванні 2025 року під керівництвом Хайнера Гарсії, який провів місяці у контакті з підозрюваним оперативником.
Cointelegraph пізніше взяв участь у фальшивому інтерв’ю Гарсії з підозрюваним, який назвався “Мотокі”, який заявив, що є японцем. Підозрюваний раптово покинув дзвінок після невдалої спроби представитися у своєму передбачуваному рідному діалекті.
Розслідування показало, що оперативники обходили географічні обмеження, використовуючи віддалений доступ до пристроїв, фізично розташованих у країнах, таких як США. Замість VPN вони працювали безпосередньо на цих машинах, роблячи їхню діяльність місцевою.
На даний момент техпошукові фірми зрозуміли, що особа на іншому кінці віртуального робочого інтерв’ю може бути північнокорейським кібер-шпигуном. Вірусна оборонна стратегія полягає в тому, щоб попросити підозрюваних образити Кім Чен Ина. На даний момент така тактика є ефективною.
Однак, оскільки Drift був підходом особисто, а висновки Гарсії показали, що оперативники знаходять творчі методи для обходу географічних обмежень, північнокорейські актори продовжують адаптуватися до динаміки “кішка-мышка”.
Запит на інтерв’ю, щоб назвати північнокорейського верховного лідера “товстим свином”, є ефективною стратегією на даний момент, але дослідники безпеки попереджають, що це не працюватиме назавжди.
Журнал: Фантомні перевірки біткоїнів, Китай відстежує податок на блокчейні: Азійський експрес
За матеріалами CoinTelegraph