Криптовалютная тактика КНДР теперь включает в себя фальшивых разработчиков, контакты на конференциях и крупные взломы DeFi, охватывающие всю отрасль.
Этот месяц взлом на сумму 285 миллионов долларов на Drift, децентрализованной бирже (DEX), стал крупнейшим криптовалютным взломом за более чем год, когда биржа Bybit потеряла 1,4 миллиарда долларов. Государственные хакеры КНДР были названы главными подозреваемыми в обоих атаках.
В прошлой осени атакующие выдавали себя за фирму количественной торговли и подходили к команде протокола Drift лично на крупной криптовалютной конференции, заявила Drift в XpostSunday.
«Теперь понятно, что это, кажется, является целенаправленным подходом, где лица из этой группы намеренно искали и вступали в контакт с конкретными участниками Drift, лично, на нескольких крупных отраслевых конференциях в нескольких странах в течение последних шести месяцев», — заявила DEX.
До сих пор кибершпионы КНДР нацеливались на криптовалютные фирмы в Интернете, через видеозвонки и удаленную работу. Личный подход на конференции обычно не вызывал бы подозрений, но взлом Drift должен быть достаточным для участников, чтобы пересмотреть связи, установленные на недавних мероприятиях.
Фирма по блокчейн-форензике TRM Labs описала инцидент как крупнейший взлом DeFi в 2026 году (на данный момент) и второй по величине взлом в истории Solana, сразу после взлома моста Wormhole на сумму 326 миллионов долларов в 2022 году.
Первоначальный контакт датируется примерно шестью месяцами назад, но сам взлом относится к середине марта, согласно TRM. Атакующий начал с перемещения средств из Tornado Cash и развертывания токена CarbonVote (CVT), используя социальную инженерию, чтобы убедить мультисигн-участников одобрить транзакции, которые предоставляли повышенные разрешения.
Затем они создали доверие к CVT, чеканив большое количество токенов и раздувая торговую активность, чтобы симулировать реальный спрос. Оракулы Drift уловили сигнал и отнеслись к токену как к законному активу.
Когда предварительно одобренные транзакции были выполнены 1 апреля, CVT был принят в качестве залога, лимиты вывода средств были увеличены, и средства были выведены в реальные активы, включая USDC.
Связано: Северокорейский шпион допускает ошибку, раскрывает связи на фальшивом собеседовании на работу Согласно TRM, скорость и агрессивность последующего отмывания средств превысили те, которые были замечены при взломе Bybit.
Широко распространено мнение, что КНДР использует крупномасштабные криптовалютные кражи, такие как взломы Drift и Bybit, наряду с более долгосрочными тактиками, включая размещение оперативников на удаленных должностях в технологических и криптовалютных фирмах для получения стабильного дохода. Совет Безопасности ООН заявил, что такие средства используются для поддержки программы вооружения страны.
Исследователь безопасности Тейлор Монахан заявил, что проникновение в протоколы DeFi началось с «лета DeFi», добавив, что около 40 протоколов имели контакт с подозреваемыми оперативниками КНДР.
Государственные СМИ КНДР сообщили в четверг, что страна провела испытания электромагнитного оружия и баллистической ракеты малой дальности, известной как Hwasong-11, оснащенной кассетными боеголовками.
Отдельное расследование показало, как сеть ИТ-работников, связанных с КНДР, генерировала миллионы долларов за счет длительного проникновения.
Данные, полученные из анонимного источника и поделенные ZachXBT, показали, что сеть выдавала себя за разработчиков и внедрялась в криптовалютные и технологические фирмы, генерируя примерно 1 миллион долларов в месяц и более 3,5 миллионов долларов с ноября.
Группа получила работу, используя фальшивые личности, маршрутизировала платежи через общую систему, затем конвертировала средства в фиатные и отправляла их на китайские банковские счета через платформы, такие как Payoneer.
Связано: Вы фрилансер? Северокорейские шпионы могут использовать вас Операция полагалась на базовую инфраструктуру, включая общий веб-сайт с общим паролем и внутренние таблицы лидеров, отслеживающие заработок.
Агенты подали заявки на должности открыто, используя VPN и фальшивые документы, указывая на более долгосрочную стратегию внедрения оперативников для получения стабильного дохода.
Cointelegraph столкнулся с подобной схемой в расследовании 2025 года под руководством Хайнера Гарсии, который провел несколько месяцев в контакте с подозреваемым оперативником.
Cointelegraph позже принял участие в фальшивом интервью Гарсии с подозреваемым, который выдавал себя за японца по имени «Мотоки», который заявил, что он японец. Подозреваемый бросил звонок после того, как не смог представиться на своем предполагаемом родном диалекте.
Расследование показало, что оперативники обходили географические ограничения, используя удаленный доступ к устройствам, физически расположенным в странах, таких как США. Вместо VPN они работали напрямую на этих машинах, делая свою активность похожей на местную.
Теперь технические охотники за талантами поняли, что человек на другом конце виртуального собеседования на работу может быть действительно северокорейским кибершпионом. Вирусная оборонительная стратегия — попросить подозреваемых оскорбить Ким Чен Ына. До сих пор этот тактика была эффективной.
Однако, поскольку Drift был approached лично, а находки Гарсии показали, что оперативники находили творческие методы обхода географических ограничений, северокорейские акторы продолжают адаптироваться к динамике кошки и мышки.
Запрос на то, чтобы интервьюируемые назвали верховного лидера КНДР «толстым свиньей», является эффективной стратегией на данный момент, но исследователи безопасности предупреждают, что это не будет работать навсегда.
Журнал: Фантомные чеки на биткоины, Китай отслеживает налоги на блокчейне: Asia Express
По материалам CoinTelegraph