ZachXBT:先潛伏再攻擊 起底朝鮮加密黑客不為人知的幕后
作者:ZachXBT,加密偵探;翻譯:金色財經xiaozou
最近有一個團隊尋求我的幫助,事情的起因是有人通過惡意代碼從他們的金庫中盜走130萬美元。
這個團隊不知道的是,他們雇傭了多名虛假身份的朝鮮IT人員作為開發者。
然后,我發現了自2024年6月以來與這些開發人員有關的一直保持活躍的加密項目就有至少25個。
1)將130萬美元轉移到偷盜地址
2)通過deBridge將130萬美元從Solana橋接到Ethereum
3)向Tornado存入50.2ETH
4)向兩個交易所轉賬16.5ETH
偷盜地址為:
6USfQ9BX33LNvuR44TXr8XKzyEgervPcF4QtZZfWMnet
0x8f0212b1a77af1573c6ccdd8775ac3fd09acf014
-俄羅斯電信IP被美國和馬來西亞的開發者使用。
-在開發記錄中他們不小心泄露了他們在記事本上的其他身份。
-開發付款地址涉及到OFAC制裁名單上的SangManKim和SimHyonSop的。
-一些開發者是由招聘公司安排的。
-多個項目具有3名以上互推薦IT人員。
各團隊未來可以關注的一些指標包括:
1)他們互推薦的角色
2)漂亮的簡歷/GitHub活動,盡管有時會謊報工作經歷。
3)通常表面上樂意接受KYC,但卻提交假身份證,希望團隊不會進一步調查。
4)關于他們所聲稱的來源地,問些具體問題。
5)一個開發人員被解雇了,但立即出現了好幾個找工作的新賬戶。
6)可能一眼看起來是很優秀的開發者,但往往工作起來就表現不佳。
7)查看日志
8)喜歡使用流行NFTpfps
9)亞洲口音
以防你是那種把一切歸咎于朝鮮的事都稱為巨大陰謀的人。無論如何,這項研究證明:
在亞洲,一個實體通過使用假身份可以同時從事25個以上的項目,每月可以獲得30萬至50萬美元的收入。后續:
在本文發布不久后,另一個項目發現他們雇傭了我名單里列出的一個朝鮮IT人員(NaokiMurano),項目管理人員在他們的聊天中分享了我的文章。