Недавние твиты эксперта по кибербезопасности ZachXBT указывают на то, что существует сложная схема с участием северокорейских IT-специалистов, выдающих себя за разработчиков криптовалют.
Операция привела к краже $1,3 миллиона из казны проекта и раскрыла сеть из более чем 25 скомпрометированных криптопроектов, активных с июня 2024 года.
Исследование ZachXBT убедительно свидетельствует о том, что одна организация в Азии, вероятно, действующая из Северной Кореи, получает от $300 000 до $500 000 в месяц, одновременно работая над более чем 25 криптопроектами, используя поддельные личности.
Схема кражи и отмывания денег
Инцидент начался, когда анонимная команда обратилась за помощью к ZachXBT после того, как из их казны украли $1,3 миллиона. Незаметно для себя они наняли нескольких северокорейских ИТ-специалистов, которые использовали поддельные личности, чтобы проникнуть в команду.
Украденные средства на общую сумму $1,3 миллиона были быстро отмыты посредством серии транзакций, включая перевод на свой адрес, бридж из сети Solana в сеть Ethereum через deBridge, внеся 50,2 ETH на Tornado Cash и в конечном итоге переведя 16,5 ETH на две разные централизованные биржи.
Дальнейшее расследование показало, что разработчики были частью более крупной сети. Отслеживая несколько платежных адресов, следователь выявил кластер из 21 разработчика, которые получили около $375 000 только за последний месяц.
Расследование также связало эти действия с предыдущими транзакциями на общую сумму $5,5 миллионов, которые поступили на адрес биржевого депозита с июля 2023 по 2024 год.
Эти платежи были связаны с северокорейскими IT-работниками и Сим Хён Сопом, фигурой, находящейся под санкциями Управления по контролю за иностранными активами (OFAC). В ходе расследования было выявлено несколько тревожных действий, включая случаи перекрытия IP-адресов российских телекоммуникационных компаний среди разработчиков, которые, как сообщается, находились в США и Малайзии.
Кроме того, один разработчик случайно раскрыл другие личности во время записи. Дальнейшие расследования показали, что платежные адреса были тесно связаны с адресами лиц, находящихся под санкциями OFAC, таких как Сан Ман Ким и Сим Хён Соп.
Ситуацию усложнило участие рекрутинговых компаний в трудоустройстве некоторых разработчиков. Кроме того, в нескольких проектах было задействовано не менее трех северокорейских ИТ-специалистов, которые рекомендовали друг друга.
Читайте также: