Эксперт утверждает, что северокорейские ИТ-специалисты помогали создавать ведущие протоколы во время DeFi Summer

Исследователь по кибербезопасности Тейлор Монахэн заявила, что ИТ-работники, связанные с Северной Кореей, на протяжении многих лет действовали в экосистеме децентрализованных финансов. Монахэн отметила, что эти участники внесли вклад во многие хорошо известные протоколы в эпоху «DeFi summer» 2020 года.

Согласно ее последнему твиту, годы (опыта) блокчейн-разработки, указанные в их резюме, часто оказывались подлинными, что свидетельствовало о реальных технических вкладах, а не о сфабрикованных учетных данных.

Годы проникновения в DeFi

Когда ее попросили привести примеры, она указала на несколько заметных проектов, включая SushiSwap, THORChain, Yearn, Harmony, Ankr и Shiba Inu, а также многие другие. Монахэн также раскрыла, что некоторые команды, например Yearn, выделялись строгим подходом к безопасности: они во многом полагались на независимый аудит и поддерживали высокий уровень скептицизма по отношению к участникам.

Это, как она подразумевала, помогало ограничивать потенциальное воздействие по сравнению с другими проектами. Кроме того, Монахэн предупредила, что тактики развились, и эти группы теперь потенциально используют лиц, не являющихся гражданами Северной Кореи, чтобы выполнять части своих операций, включая очные взаимодействия. По оценкам эксперта по безопасности, эти организации в совокупности могли изъять из криптосферы как минимум $6.7 миллиарда за этот период.

Северная Корея продолжает доминировать в связанной с криптовалютами киберпреступности, выступая как крупнейшая угроза, поддерживаемая государством, в секторе. Согласно более раннему отчету Chainalysis, хакеры из КНДР украли как минимум $2.02 миллиарда в цифровых активах только в 2025 году, что на 51% больше по сравнению с 2024 годом и составляет 76% всех нарушений, связанных с сервисами.

Хотя атак было меньше, их масштаб был значительно больше. Chainalysis связала этот масштаб с тем, что поддерживаемые государством группы использовали внедренных ИТ-работников, которые получают доступ к криптокомпаниям, включая биржи и кастодианов, прежде чем будут совершены крупные эксплойты.

После того как средства похищены, эти участники обычно перемещают активы небольшими транзакциями: более 60% переводов — на суммы менее $500,000. Их методы отмывания в значительной степени опираются на кроссчейн-инструменты, миксинговые сервисы и финансовые сети на китайском языке.

Возможно, вам также понравится:

			*   			
				Отчет: кибератаки на криптовалюты выросли на 96% в марте, потери достигли $52 млн			
		
				*   			
				ZachXBT обвиняет Circle в том, что та «бездействовала», пока средства после взлома Drift свободно перемещались			
		
				*   			
				Эксперт предупреждает о критической и продолжающейся атаке на цепочку поставок на Axios			

Security Alliance (SEAL) ранее выяснил, что кибератаки с использованием поддельных звонков от Zoom или Microsoft Teams выполнялись этими группами, чтобы заразить жертв вредоносным ПО. Эти операции часто начинаются через скомпрометированные аккаунты Telegram, где злоумышленники выдают себя за известных контактов и приглашают целевые аудитории присоединиться к видеозвонку.

Во время встречи для создания видимости законности используются заранее записанные видео, прежде чем жертвам сообщают, что нужно установить якобы обновление, которое вместо этого предоставляет злоумышленникам доступ к их устройствам. Оказавшись внутри, эти участники похищают конфиденциальные данные и повторно используют угнанные аккаунты, чтобы продолжать распространять атаку.

Расширение поверхности атаки

Также подозревалось, что хакеры, связанные с Северной Кореей, стояли за взломом Bitrefill 1 марта. По сообщениям, злоумышленники получили доступ через скомпрометированное устройство сотрудника и сумели извлечь учетные данные, которые позволили получить более глубокий доступ к внутренним системам.

Далее они перешли к частям базы данных и вывели средства из горячих кошельков, а также использовали уязвимости в потоках поставок подарочных карт. Индикаторы вроде шаблонов вредоносного ПО, поведения в ончейне и повторно использованной инфраструктуры совпали с прежними операциями, связанными с группами Lazarus и Bluenoroff.

СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ (Эксклюзив)

Бесплатно $600 от Binance (CryptoPotato Exclusive): воспользуйтесь этой ссылкой, чтобы зарегистрировать новый аккаунт и получить эксклюзивное приветственное предложение на $600 на Binance (полные подробности).

ОГРАНИЧЕННОЕ ПРЕДЛОЖЕНИЕ для читателей CryptoPotato на Bybit: воспользуйтесь этой ссылкой, чтобы зарегистрироваться и открыть БЕСПЛАТНУЮ позицию на $500 на любую монету!

Теги:

										DeFi											
										

																					
											
										Hacks											
										

																					
											
										North Korea