Operatori legați de Coreea de Nord au petrecut ani de zile integrându-se în liniște în firmele cripto și echipele DeFi, ridicând noi preocupări cu privire la riscul intern (insider risk) după o serie de exploatări de mare valoare legate de aparatul cibernetic al țării.
Cercetătorul în securitate și dezvoltatorul MetaMask, Taylor Monahan, a declarat că aceste tactici datează din primele zile ale finanțelor descentralizate, cu indivizi legați de Republica Populară Democrată Coreeană contribuind la mai multe protocoale larg utilizate.
„Mulți lucrători IT din RPDC au construit protocoalele pe care le cunoașteți și le iubiți, încă din vara DeFi”, a declarat ea duminică, adăugând că peste 40 de platforme, inclusiv mai multe proiecte bine-cunoscute, s-au bazat la un moment dat pe astfel de dezvoltatori.
Cu toate acestea, ea a menționat că „șapte ani de experiență în dezvoltare blockchain” enumerați în CV-urile lor „nu sunt o minciună”.
Anchetatorii au legat de mult timp operațiunile cibernetice ale Coreei de Nord de Grupul Lazarus, un colectiv susținut de stat despre care se crede că a furat aproximativ 7 miliarde de dolari în active digitale din 2017, conform analiștilor R3ACH.
Grupul a fost asociat cu unele dintre cele mai mari breșe din industrie, inclusiv exploit-ul Ronin Bridge de 625 de milioane de dolari în 2022, hack-ul WazirX de 235 de milioane de dolari în 2024 și incidentul Bybit de 1,4 miliarde de dolari în 2025.
Exploit-ul de 280 de milioane de dolari al Protocolului Drift de săptămâna trecută a atras o atenție reînnoită. Proiectul a declarat că avea o „încredere medie-ridicată” că un grup afiliat statului nord-coreean se afla în spatele atacului, legând incidentul de un tipar mai larg de infiltrare și inginerie socială.
Cu toate acestea, întâlnirile față în față care au precedat breșa nu au fost cu cetățeni nord-coreeni, ci mai degrabă „intermediari terți” folosind „identități complet construite, inclusiv istorice de angajare, credențiale publice și rețele profesionale”.
Aceste profile includeau istorice de angajare, credențiale publice și rețele profesionale active, permițându-le să construiască încredere prin interacțiuni față în față înainte ca exploit-ul să se desfășoare.
Anchetatorul independent blockchain ZachXBT a avertizat într-o postare recentă pe X că nu toate amenințările legate de Coreea de Nord operează la același nivel de sofisticare.
„Principala problemă este că toată lumea îi grupează pe toți la un loc, când complexitatea amenințărilor este diferită”, a spus el.
El a descris multe tentative de infiltrare ca fiind relativ simple, bazându-se pe persistență mai degrabă decât pe complexitate tehnică. Contactul prin anunțuri de angajare, LinkedIn, e-mail, apeluri Zoom și procese de interviu rămâne comun.
„Basice și nicidecum sofisticate […] singurul lucru este că sunt necruțătoare”, a spus el, adăugând că echipele care continuă să cadă victime unor astfel de tactici în 2026 riscă să fie considerate neglijente.
