Paano Nakapasok ang North Korea sa Crypto Industry

• Tinukoy ng CoinDesk ang higit sa isang dosenang kumpanya ng Crypto na hindi sinasadyang kumuha ng mga IT worker mula sa Democratic People's Republic of Korea (DPRK), kabilang ang mga mahusay na naitatag na proyekto ng blockchain gaya ng Ijective, ZeroLend, Fantom, SUSHI, Yearn Finance at Cosmos Hub.
• Gumamit ang mga manggagawa ng mga pekeng ID, matagumpay na nag-navigate sa mga panayam, pumasa sa mga reference check at nagpakita ng tunay na kasaysayan ng trabaho.
• Ang pag-hire ng mga manggagawa sa DPRK ay labag sa batas sa US at iba pang mga bansa na nagpapatibay sa North Korea. Nagpapakita rin ito ng panganib sa seguridad: Nakatagpo ang CoinDesk ng maraming halimbawa ng mga kumpanyang kumukuha ng mga manggagawa sa DPRK IT at pagkatapos ay na-hack.
• "Lahat ay nagpupumilit na i-filter ang mga taong ito," sabi ni Zaki Manian, isang kilalang blockchain developer na nagsasabing hindi sinasadyang kumuha siya ng dalawang DPRK IT na manggagawa upang tumulong sa pagbuo ng Cosmos Hub blockchain noong 2021.

Ang kumpanya ng Crypto na Truflation ay nasa maagang yugto pa lamang noong 2023 nang hindi sinasadyang kinuha ng founder na si Stefan Rust ang kanyang unang empleyado sa North Korea.

"Palagi kaming naghahanap ng mahusay na mga developer," sabi ni Rust mula sa kanyang tahanan sa Switzerland. Out of the blue, "napunta ang ONE developer na ito sa linya."

Ipinadala ni "Ryuhei" ang kanyang resume sa Telegram at sinabing nakabase siya sa Japan. Di-nagtagal pagkatapos siyang matanggap, nagsimulang lumitaw ang mga kakaibang hindi pagkakapare-pareho.

Sa ONE punto, "Nakikipag-usap ako sa lalaki, at sinabi niya na siya ay nasa isang lindol," paggunita ni Rust. Maliban sa walang kamakailang lindol sa Japan. Pagkatapos ay nagsimulang mawalan ng tawag ang empleyado, at nang magpakita siya, "T siya iyon," sabi ni Rust. "Ibang tao iyon." Kung sino man ito ay bumaba ng Japanese accent.

Malapit nang Learn ni Rust na si "Ryuhei" at apat na iba pang empleyado - higit sa ikatlong bahagi ng kanyang buong koponan - ay North Korean. Hindi sinasadya, si Rust ay naging biktima ng isang coordinated scheme ng North Korea upang makakuha ng mga malayong trabaho sa ibang bansa para sa mga tao nito at i-funnel ang mga kita pabalik sa Pyongyang.

Pinaigting ng mga awtoridad ng US ang kanilang mga babala kamakailan na ang mga manggagawa ng North Korean information Technology (IT) ay pumapasok sa mga tech na kumpanya, kabilang ang mga Crypto employer, at ginagamit ang mga nalikom upang pondohan ang programa ng nuclear weapons ng estado ng pariah. Ayon kay a 2024 Ulat ng United Nations, ang mga IT worker na ito ay kumikita ng hanggang $600 milyon taun-taon para sa rehimen ni Kim Jon Un.

Ang pagkuha at pagbabayad sa mga manggagawa - kahit na hindi sinasadya - ay lumalabag sa mga parusa ng U.N. at ilegal sa U.S. at maraming iba pang mga bansa. Nagpapakita rin ito ng matinding panganib sa seguridad, dahil ang mga hacker ng North Korea ay kilala na nagta-target ng mga kumpanya sa pamamagitan ng mga tagong manggagawa.

Ang pagsisiyasat ng CoinDesk ngayon ay nagpapakita kung gaano ka-agresibo at kadalas ang mga aplikante ng trabaho sa North Korea ay partikular na nag-target sa mga kumpanya ng Crypto – matagumpay na nagna-navigate sa mga panayam, pagpasa sa mga pagsusuri sa sanggunian, kahit na nagpapakita ng mga kahanga-hangang kasaysayan ng mga kontribusyon ng code sa open-source na software repository na GitHub.

Nakipag-usap ang CoinDesk sa higit sa isang dosenang mga kumpanya ng Crypto na nagsabing hindi sinasadyang kumuha sila ng mga IT worker mula sa Democratic People's Republic of Korea (DPRK), bilang opisyal na tawag sa bansa.

Ang mga panayam na ito sa mga tagapagtatag, mga mananaliksik ng blockchain at mga eksperto sa industriya ay nagpapakita na ang mga manggagawang IT ng North Korea ay higit na laganap sa industriya ng Crypto kaysa sa naisip. Halos lahat ng hiring manager na nilapitan ng CoinDesk para sa kwentong ito ay kinikilala na nainterbyu nila ang mga pinaghihinalaang developer ng North Korea, kinuha sila nang hindi sinasadya, o may kakilala sila.

"Ang porsyento ng iyong mga papasok na resume, o mga taong humihingi ng trabaho, o gustong mag-ambag - alinman sa mga bagay na iyon - na malamang na mula sa North Korea ay higit sa 50% sa buong industriya ng Crypto ," sabi ni Zaki Manian, isang kilalang blockchain developer na nagsasabing hindi sinasadyang kumuha siya ng dalawang DPRK IT na manggagawa para tumulong sa pagbuo ng Cosmos Hub na blockchain noong 2021.

Kabilang sa hindi sinasadyang mga tagapag-empleyo ng DPRK na kinilala ng CoinDesk ay ilang mahusay na itinatag na mga proyekto ng blockchain, tulad ng Cosmos Hub, Ijective, ZeroLend, Fantom, SUSHI at Yearn Finance. "Ang lahat ng ito ay nangyayari sa likod ng mga eksena," sabi ni Manian.

Ang pagsisiyasat na ito ay nagmamarka sa unang pagkakataon na ang alinman sa mga kumpanyang ito ay pampublikong kinilala na sila ay hindi sinasadyang kumuha ng mga manggagawa sa DPRK IT.

Sa maraming kaso, ang mga manggagawa sa Hilagang Korea ay nagsagawa ng kanilang trabaho tulad ng mga karaniwang empleyado; kaya karamihan ay nakuha ng mga employer ang kanilang binayaran, sa isang kahulugan. Ngunit natagpuan ng CoinDesk ang katibayan ng mga manggagawa na kasunod na naglalabas ng kanilang mga sahod sa mga address ng blockchain na naka-link sa pamahalaan ng North Korea.

Ang pagsisiyasat ng CoinDesk ay nagsiwalat din ng ilang pagkakataon kung saan ang mga proyekto ng Crypto na gumamit ng mga manggagawa sa DPRK IT ay naging biktima ng mga hack. Sa ilan sa mga kasong iyon, LINK ng CoinDesk ang mga heists nang direkta sa pinaghihinalaang mga manggagawa sa DPRK IT sa payroll ng isang kompanya. Ganito ang nangyari sa SUSHI, isang kilalang desentralisadong protocol sa Finance na nawalan ng $3 milyon sa isang insidente ng pag-hack noong 2021.

Ang U.S. Department of the Treasury's Office of Foreign Assets Control (OFAC) at ang Sinimulan ng Department of Justice na isapubliko ang mga pagtatangka ng North Korean na makalusot sa industriya ng Crypto ng US noong 2022. Natuklasan ng CoinDesk ang katibayan na ang mga manggagawa sa DPRK IT ay nagsimulang magtrabaho sa mga kumpanya ng Crypto sa ilalim ng mga pekeng pagkakakilanlan bago noon, hindi bababa sa 2018.

"Maraming tao, sa tingin ko, ay nasa ilalim ng maling impresyon na ito ay isang bagong bagay na biglang nangyari," sabi ni Manian. "May mga GitHub account at iba pang bagay sa mga taong ito na, tulad ng, bumalik sa 2016, 2017, 2018." (Ang GitHub, na pag-aari ng Microsoft, ay ang online na platform na ginagamit ng maraming mga organisasyon ng software upang mag-host ng code at payagan ang mga developer na makipagtulungan.)

Iniugnay ng CoinDesk ang mga manggagawang IT ng DPRK sa mga kumpanyang gumagamit ng iba't ibang paraan, kabilang ang mga rekord ng pagbabayad ng blockchain, mga kontribusyon sa pampublikong GitHub code, mga email mula sa mga opisyal ng gobyerno ng US at direktang mga panayam sa mga target na kumpanya. Ang ONE sa pinakamalaking network ng pagbabayad sa North Korea na sinuri ng CoinDesk ay natuklasan ni ZachXBT, isang blockchain investigator na naglathala ng isang listahan ng mga pinaghihinalaang developer ng DPRK noong Agosto.

Dati, nanatiling tahimik ang mga employer dahil sa mga alalahanin tungkol sa hindi gustong publisidad o legal na epekto. Ngayon, nahaharap sa malawak na mga rekord ng pagbabayad at iba pang ebidensya na nahukay ng CoinDesk, marami sa kanila ang nagpasya na sumulong at ibahagi ang kanilang mga kuwento sa unang pagkakataon, na inilalantad ang napakalaking tagumpay at sukat ng mga pagsisikap ng Hilagang Korea na tumagos sa industriya ng Crypto .

Mga pekeng dokumento

Matapos kunin si Ryuhei, ang mukhang Japanese na empleyado, ang Rust's Truflation ay nakatanggap ng baha ng mga bagong aplikante. Sa loob lamang ng ilang buwan, hindi sinasadyang kumuha si Rust ng apat pang developer ng DPRK na nagsabing nakabase sila sa Montreal, Vancouver, Houston at Singapore.

Ang Crypto sector ay lalong hinog na para sa sabotahe ng North Korean IT workers. Ang workforce ay partikular na pandaigdigan, at ang mga kumpanya ng Crypto ay malamang na maging mas komportable kaysa sa iba na kumukuha ng ganap na remote - kahit na hindi kilalang - mga developer.

Sinuri ng CoinDesk ang mga aplikasyon ng trabaho sa DPRK na natanggap ng mga kumpanya ng Crypto mula sa iba't ibang mapagkukunan, kabilang ang mga platform ng pagmemensahe tulad ng Telegram at Discord, mga job board na partikular sa crypto tulad ng Listahan ng Mga Trabaho ng Crypto , at mga site sa pagkuha tulad ng Indeed.

"Kung saan sila ang may pinakamaraming swerte sa pagkuha ay ang mga bagong bagong team na ito na handang kumuha ng Discord," sabi ni Taylor Monahan, isang product manager sa Crypto wallet app MetaMask na madalas na naglalathala ng pananaliksik sa seguridad na may kaugnayan sa North Korean Crypto activity. "T silang mga proseso sa lugar upang kumuha ng mga tao na may mga pagsusuri sa background. Handa silang magbayad sa Crypto ng maraming beses."

Sinabi ni Rust na nagsagawa siya ng sarili niyang background check sa lahat ng bagong hire ng Truflation. "Ipinadala nila sa amin ang kanilang mga pasaporte at ID card, binigyan kami ng mga repo ng GitHub, dumaan sa isang pagsubok, at pagkatapos, talaga, dinala namin sila."

Para sa hindi sanay na mata, karamihan sa mga pekeng dokumento ay mukhang hindi nakikilala mula sa mga tunay na pasaporte at visa, kahit na sinabi ng mga eksperto sa CoinDesk na malamang na sila ay nahuli ng mga propesyonal na serbisyo sa pagsusuri sa background.

Bagama't ang mga startup ay mas malamang na gumamit ng mga propesyonal na background checker, "nakikita namin ang mga manggagawang IT ng North Korea sa mas malalaking kumpanya pati na rin, alinman bilang mga tunay na empleyado o hindi bababa sa bilang mga kontratista," sabi ni Monahan.

Nagtatago sa simpleng paningin

Sa maraming kaso, natuklasan ng CoinDesk ang mga manggagawa sa DPRK IT sa mga kumpanyang gumagamit ng data ng blockchain na magagamit sa publiko.

Noong 2021, si Manian, ang blockchain developer, ay nangangailangan ng tulong sa kanyang kumpanya, Iqlusion. Naghanap siya ng mga freelance coder na maaaring makatulong sa isang proyekto para i-upgrade ang sikat na Cosmos Hub blockchain. Nakakita siya ng dalawang recruit; naihatid nila nang may kakayahan.

Hindi kailanman nakilala ni Manian ang mga freelancer na sina “Jun Kai” at “Sarawut Sanit,” nang personal. Dati silang nagtrabaho nang magkasama sa isang open-source software project na pinondohan ng THORChain, isang malapit na kaakibat na blockchain network, at sinabi nila sa Manian na sila ay nakabase sa Singapore.

“Halos araw-araw ko silang kausap sa loob ng isang taon,” ani Manian. "Ginawa nila ang trabaho. At ako, sa totoo lang, medyo nasiyahan."

Dalawang taon pagkatapos makumpleto ng mga freelancer ang kanilang trabaho, nakatanggap si Manian ng email mula sa isang ahente ng FBI na nag-iimbestiga sa mga paglilipat ng token na mukhang nagmula sa Iqlusion patungo sa pinaghihinalaang mga address ng Crypto wallet ng North Korea. Ang mga transfer na pinag-uusapan ay mga bayad pala ni Iqlusion kina Kai at Sanit.

Hindi kinumpirma ng FBI kay Manian na ang mga developer na kinontrata niya ay mga ahente ng DPRK, ngunit ang pagsusuri ng CoinDesk sa mga address ng blockchain ng Kai at Sanit ay nagpakita na sa buong 2021 at 2022, ibinaon nila ang kanilang mga kita sa dalawang indibidwal sa listahan ng mga parusa ng OFAC: Kim Sang Man at Sim Hyon Sop.

Ayon sa OFAC, Si Sim ay isang kinatawan para sa Kwangson Banking Corp, isang bangko sa Hilagang Korea na naglalaba ng mga pondo ng manggagawang IT upang makatulong na "Finance ang mga programa ng WMD at ballistic missile ng DPRK." Mukhang meron ang Sarawak ibinuhos ang lahat ng kanyang kinikita sa Sim at iba pang Sim-linked blockchain wallet.

Si Kai naman, nag-funnel ng halos $8 milyon diretso kay Kim. Ayon kay a 2023 OFAC advisory, si Kim ay isang kinatawan para sa Chinyong Information Technology Cooperation Company na pinamamahalaan ng DPRK, na, "sa paraan ng mga kumpanyang nasa ilalim ng kontrol nito at kanilang mga kinatawan, ay gumagamit ng mga delegasyon ng DPRK IT na manggagawa na nagpapatakbo sa Russia at Laos."

Ang sahod ni Iqlusion kay Kai ay nagkakahalaga ng mas mababa sa $50,000 ng halos $8 milyon na ipinadala niya kay Kim, at ang ilan sa mga natitirang pondo ay nagmula sa ibang mga kumpanya ng Crypto .

Halimbawa, natuklasan ng CoinDesk ang mga pagbabayad mula sa Fantom Foundation, na bumuo ng malawakang ginagamit na Fantom blockchain, kay "Jun Kai" at isa pang developer na naka-link sa DPRK.

"Kinilala ng Fantom ang dalawang panlabas na tauhan bilang kasangkot sa North Korea noong 2021," sinabi ng tagapagsalita ng Fantom Foundation sa CoinDesk. "Gayunpaman, ang mga developer na pinag-uusapan ay nagtrabaho sa isang panlabas na proyekto na hindi kailanman natapos at hindi kailanman na-deploy."

Ayon sa Fantom Foundation, "Ang dalawang indibidwal na pinag-uusapan ay winakasan, hindi kailanman nag-ambag ng anumang malisyosong code o nagkaroon ng access sa codebase ng Fantom, at walang mga user ng Fantom ang naapektuhan." Tinangka ng ONE sa mga manggagawa ng DPRK na salakayin ang mga server ng Fantom ngunit nabigo dahil kulang siya sa kinakailangang pag-access, ayon sa tagapagsalita.

Ayon sa database ng OpenSanctions, ang mga address ng blockchain na naka-link sa DPRK ni Kim ay hindi nai-publish ng anumang mga pamahalaan hanggang Mayo 2023 – higit sa dalawang taon pagkatapos magbayad ng Iqlusion at Fantom .

Ibinigay ang leway

Pinahintulutan ng U.S. at ng UN ang pagkuha ng mga manggagawa sa DPRK IT noong 2016 at 2017, ayon sa pagkakabanggit.

Iligal na magbayad ng mga manggagawa sa North Korean sa U.S. alam mo man na ginagawa mo ito o hindi—isang legal na konsepto na tinatawag na "mahigpit na pananagutan."

T naman mahalaga kung saan nakabase ang isang kumpanya, alinman: Ang pagkuha ng mga manggagawa mula sa DPRK ay maaaring magdala ng mga legal na panganib para sa anumang kumpanya na nagnenegosyo sa mga bansang nagpapatupad ng mga parusa laban sa North Korea.

Gayunpaman, ang US at iba pang mga estado ng miyembro ng UN ay hindi pa nauusig ang isang kumpanya ng Crypto para sa pagkuha ng mga manggagawang IT ng North Korea.

Ang U.S. Treasury Department ay nagbukas ng isang pagtatanong sa Iqlusion, na nakabase sa U.S., ngunit sinabi ni Manian na natapos ang pagsisiyasat nang walang anumang mga parusa.

Ang mga awtoridad ng U.S. ay naging maluwag sa pagsasampa ng mga kaso laban sa mga kumpanya - sa ilang antas na kinikilala na sila ay mga biktima ng, sa pinakamaganda, isang hindi pangkaraniwang detalyado at sopistikadong uri ng pandaraya sa pagkakakilanlan, o, sa pinakamasama, isang mahabang pandaraya sa pinaka nakakahiyang uri.

Bukod sa mga legal na panganib, ang pagbabayad ng mga manggagawa sa DPRK IT ay "masama din dahil binabayaran mo ang mga tao na karaniwang pinagsamantalahan ng rehimen," paliwanag ng Monahan ng MetaMask.

Ayon sa UN Security Council's 615-pahinang ulat, ang mga manggagawang IT ng DPRK KEEP lamang ng maliit na bahagi ng kanilang mga suweldo. "Ang mga mas mababang kumikita KEEP ng 10 porsiyento habang ang pinakamataas na kumikita ay maaaring KEEP ng 30 porsiyento," ang sabi ng ulat.

Bagama't maaaring mataas pa rin ang mga sahod na ito kumpara sa karaniwan sa North Korea, "T akong pakialam kung saan sila nakatira," sabi ni Monahan. "Kung binabayaran ko ang isang tao at literal silang napipilitang ipadala ang kanilang buong suweldo sa kanilang boss, iyon ay magiging lubhang hindi komportable sa akin. Ito ay magiging mas hindi komportable kung ang kanilang amo ay, alam mo, ang rehimeng Hilagang Korea."

Naabot ng CoinDesk ang maraming pinaghihinalaang mga manggagawa sa IT ng DPRK sa panahon ng pag-uulat ngunit hindi ito nakarinig.

Paparating

Tinukoy ng CoinDesk ang higit sa dalawang dosenang kumpanya na gumamit ng posibleng mga manggagawa sa DPRK IT sa pamamagitan ng pagsusuri sa mga rekord ng pagbabayad ng blockchain sa mga entity na pinahintulutan ng OFAC. Labindalawang kumpanya ang ipinakita na may mga talaan na nakumpirma sa CoinDesk na dati nilang natuklasan ang mga pinaghihinalaang mga manggagawa sa DPRK IT sa kanilang mga payroll.

Ang ilan ay tumanggi na magkomento pa dahil sa takot sa mga legal na epekto, ngunit ang iba ay sumang-ayon na ibahagi ang kanilang mga kuwento nang may pag-asa na ang iba ay maaaring Learn mula sa kanilang mga karanasan.

Sa maraming kaso, naging mas madaling matukoy ang mga empleyado ng DPRK pagkatapos nilang matanggap.

Sinabi ni Eric Chen, CEO ng Injective, isang desentralisadong proyektong nakatuon sa pananalapi, na kinontrata niya ang isang freelance developer noong 2020 ngunit mabilis siyang tinanggal dahil sa hindi magandang pagganap.

"T siya nagtagal," sabi ni Chen. "Nagsusulat siya ng crappy code na T gumana nang maayos." Noon T nakaraang taon, nang makipag-ugnayan ang isang "ahensiya ng gobyerno" sa US sa Ijective, nalaman ni Chen na ang empleyado ay naka-link sa North Korea.

Sinabi ng ilang kumpanya sa CoinDesk na pinaalis nila ang isang empleyado bago pa man malaman ang tungkol sa anumang mga link sa DPRK - sabihin, dahil sa substandard na trabaho.

'Sweldo ng gatas sa loob ng ilang buwan'

Gayunpaman, ang mga manggagawa sa DPRK IT ay katulad ng mga karaniwang developer na maaaring mag-iba ang kanilang mga kakayahan.

Sa ONE banda, magkakaroon ka ng mga empleyado na "lumalabas, dumaan sa proseso ng pakikipanayam, at nagpapagatas lang ng suweldo para sa ilang buwang suweldo," sabi ni Manian. "There's also another side of it, which is you encounter these people na kapag na-interview mo sila, talagang malakas ang actual technical chops nila."

Naalala ni Rust ang pagkakaroon ng "ONE talagang mahusay na developer" sa Truflation na nag-claim na siya ay mula sa Vancouver ngunit lumabas na mula sa North Korea. "Bata pa talaga siya," sabi ni Rust. "It felt like he was just out of college. BIT green behind the ears, super keen, excited talaga to be working on an opportunity."

Sa isa pang pagkakataon, ang Cluster, isang desentralisadong pagsisimula ng Finance , ay nagpaputok ng dalawang developer noong Agosto matapos makipag-ugnayan ang ZachXBT na may katibayan na sila ay naka-link sa DPRK.

"Ito ay talagang baliw kung gaano karami ang alam ng mga taong ito," sinabi ng pseudonymous founder ng Cluster, z3n, sa CoinDesk. Sa pagbabalik-tanaw, mayroong ilang "malinaw na pulang bandila." Halimbawa, "bawat dalawang linggo pinapalitan nila ang kanilang address sa pagbabayad, at bawat buwan o higit pa ay papalitan nila ang kanilang pangalan ng Discord o pangalan ng Telegram."

Naka-off ang webcam

Sa mga pakikipag-usap sa CoinDesk, maraming employer ang nagsabing nakapansin sila ng mga abnormalidad na mas may katuturan nang malaman nila na ang kanilang mga empleyado ay malamang na North Korean.

Minsan ang mga pahiwatig ay banayad, tulad ng mga oras ng trabaho ng mga empleyado na T tumutugma sa kanilang dapat na lokasyon ng trabaho.

Ang ibang mga employer, tulad ng Truflation, ay nakapansin ng mga pahiwatig na ang isang empleyado ay maraming tao na nagpapanggap bilang isang indibidwal - isang bagay na susubukan ng empleyado na itago sa pamamagitan ng pag-iwas sa kanyang webcam. (Halos palagi silang lalaki).

Nag-hire ang ONE kumpanya ng empleyado na sumipot sa mga pagpupulong sa umaga ngunit tila nakakalimutan niya ang lahat ng napag-usapan sa bandang huli ng araw – isang kakaibang kakaiba nang malaman ng employer na marami siyang kausap.

Nang dalhin ni Rust ang kanyang mga alalahanin tungkol kay Ryuhei, ang kanyang "Japanese" na empleyado, sa isang investor na may karanasan sa pagsubaybay sa mga network ng pagbabayad ng kriminal, mabilis na natukoy ng investor ang apat na iba pang pinaghihinalaang manggagawa sa DPRK IT sa payroll ng Truflation.

"Agad naming pinutol ang aming mga relasyon," sabi ni Rust, at idinagdag na ang kanyang koponan ay nagsagawa ng isang pag-audit sa seguridad ng code nito, pinahusay ang mga proseso ng pagsusuri sa background nito at binago ang ilang partikular na patakaran. Ang ONE bagong Policy ay hilingin sa mga malalayong manggagawa na i-on ang kanilang mga camera.

Isang $3M hack

Marami sa mga tagapag-empleyo na kinonsulta ng CoinDesk ay nasa ilalim ng maling impresyon na ang mga manggagawang IT ng DPRK ay nagpapatakbo nang independiyente mula sa braso ng pag-hack ng Hilagang Korea, ngunit ang data ng blockchain at mga pakikipag-usap sa mga eksperto ay nagpapakita na ang mga aktibidad sa pag-hack ng rehimen at mga manggagawa sa IT ay madalas na nakaugnay.

Noong Setyembre 2021, ang MISO, isang platform na binuo ng SUSHI para sa paglulunsad ng mga Crypto token, ay nawalan ng $3 milyon sa isang malawak na naiulat na heist. Nakakita ang CoinDesk ng ebidensya na ang pag-atake ay nauugnay sa pagkuha ng Sushi ng dalawang developer na may mga rekord ng pagbabayad ng blockchain na konektado sa North Korea.

Sa panahon ng pag-hack, ang SUSHI ay ONE sa pinakapinag-uusapang mga platform sa umuusbong na mundo ng desentralisadong Finance (DeFi). Mahigit sa $5 bilyon ang nadeposito sa Sushiswap, na pangunahing nagsisilbing isang "desentralisadong palitan" para sa mga tao na magpalit sa pagitan ng mga cryptocurrencies nang walang mga tagapamagitan.

Si Joseph Delong, ang punong opisyal ng Technology ng Sushi noong panahong iyon, ay nagtunton sa MISO heist sa dalawang freelance na developer na tumulong sa pagbuo nito: mga indibidwal na gumagamit ng mga pangalang Anthony Keller at Sava Grujic. Sinabi ni Delong na ang mga developer - na pinaghihinalaan niya ngayon ay isang solong tao o organisasyon - ay nag-inject ng malisyosong code sa MISO platform, na nagre-redirect ng mga pondo sa isang wallet na kinokontrol nila.

Noong si Keller at Grujic ay kinontrata ng SUSHI DAO, ang desentralisadong autonomous na organisasyon na namamahala sa SUSHI protocol, nagbigay sila ng mga kredensyal na tila sapat na pangkaraniwan - kahit na kahanga-hanga - para sa mga developer ng entry-level.

Nag-operate si Keller sa ilalim ng pseudonym na "eratos1122" sa publiko, ngunit nang mag-apply siya para magtrabaho sa MISO ginamit niya ang tila tunay niyang pangalan, "Anthony Keller." Sa isang resume na ibinahagi ni Delong sa CoinDesk, sinabi ni Keller na naninirahan siya sa Gainesville, Georgia, at nagtapos sa University of Phoenix na may bachelor's degree sa computer engineering. (Ang unibersidad ay T tumugon sa isang Request para sa kumpirmasyon kung mayroong nagtapos sa pangalang iyon.)

Kasama sa resume ni Keller ang mga tunay na sanggunian sa nakaraang trabaho. Kabilang sa mga pinaka-kahanga-hanga ay ang Yearn Finance, isang napakasikat na Crypto investment protocol na nag-aalok sa mga user ng paraan para makakuha ng interes sa iba't ibang mga pre-made na diskarte sa pamumuhunan. Kinumpirma ni Banteg, isang Core developer sa Yearn, na nagtrabaho si Keller sa Coordinate, isang app na binuo ni Yearn para tulungan ang mga team na mag-collaborate at mapadali ang mga pagbabayad. (Sinabi ni Banteg na ang trabaho ni Keller ay limitado sa Coordinate at T siyang access sa Core codebase ng Yearn.)

Tinukoy ni Keller si Grujic sa MISO at ipinakita ng dalawa ang kanilang sarili bilang "magkaibigan," ayon kay Delong. Tulad ni Keller, nag-supply si Grujic ng resume kasama ang dapat niyang tunay na pangalan kaysa sa kanyang online na pseudonym, "AristoK3." Siya ay nag-claim na mula sa Serbia at nagtapos ng Unibersidad ng Belgrade na may bachelor's degree sa computer science. Aktibo ang kanyang GitHub account, at ang kanyang resume ay naglista ng karanasan sa ilang mas maliliit na Crypto project at gaming startup.

Si Rachel Chu, isang dating Core developer sa SUSHI na malapit na nakipagtulungan kina Keller at Grujic bago ang heist, ay nagsabi na siya ay "hinala" sa pares bago naganap ang anumang pag-hack.

Sa kabila ng pag-aangkin na sila ay nakabase sa buong mundo mula sa ONE isa, sina Grujic at Keller ay "may parehong accent" at "parehong paraan ng pag-text," sabi ni Chu. "Every time na nag-uusap kami, they'd have some background noise, parang nasa factory," she added. Naalala ni Chu ang pagkakita sa mukha ni Keller ngunit hindi kay Grujic. Ayon kay Chu, "naka-zoom in" ang camera ni Keller para T niya makita kung ano ang nasa likod niya.

Sa kalaunan ay tumigil sina Keller at Grujic sa pag-aambag sa MISO sa parehong oras. "Sa tingin namin na si Anthony at Sava ay iisang lalaki," sabi ni Delong, "kaya huminto kami sa pagbabayad sa kanila." Ito ang kasagsagan ng pandemya ng COVID-19, at hindi nabalitaan para sa mga malalayong Crypto developer na magpanggap bilang maraming tao para kumuha ng dagdag na pera mula sa payroll.

Matapos palayain sina Keller at Grujic noong tag-araw ng 2021, nagpabaya ang SUSHI team na bawiin ang kanilang access sa MISO codebase.

Noong Setyembre 2, gumawa si Grujic ng malisyosong code sa platform ng MISO sa ilalim ng kanyang "Aristok3" na screen name, na nagre-redirect ng $3 milyon sa isang bagong Cryptocurrency wallet, batay sa isang screenshot na ibinigay sa CoinDesk.

Ang pagsusuri ng CoinDesk sa mga rekord ng pagbabayad ng blockchain ay nagmumungkahi ng potensyal LINK sa pagitan ng Keller, Grujic at North Korea. Noong Marso 2021, si Keller nai-post isang blockchain address sa isang tweet na tinanggal na ngayon. CoinDesk natuklasan ang maraming pagbabayad sa pagitan ng address na ito, ng address ng hacker ni Grujic at ng mga address SUSHI na naka-file para kay Keller. Sa huli ay napagpasyahan ng panloob na pagsisiyasat ni Sushi na ang address ay kay Keller, ayon kay Delong.

Nalaman ng CoinDesk na ang address na pinag-uusapan ay nagpadala ng karamihan sa mga pondo nito kay "Jun Kai" (ang developer ng Iqlusion na nagpadala ng pera sa Kim Sang Man na pinahintulutan ng OFAC) at isa pang wallet na lumilitaw na nagsisilbing proxy ng DPRK (dahil, binayaran din nito si Kim).

Nagbigay ng karagdagang paniniwala sa teorya na sina Keller at Grujic ay North Korean, natuklasan ng panloob na pagsisiyasat ni Sushi na ang pares ay madalas na nagpapatakbo gamit ang mga IP address sa Russia, kung saan sinasabi ng OFAC na kung minsan ay naka-base ang mga manggagawa sa DPRK IT ng North Korea. (Ang numero ng telepono ng U.S. sa resume ni Keller ay wala sa serbisyo, at ang kanyang "eratos1122" na Github at Twitter account ay tinanggal na.)

Bukod pa rito, natuklasan ng CoinDesk ang ebidensya na ginamit SUSHI isa pang pinaghihinalaang kontraktor ng IT ng DPRK kasabay ni Keller at Grujic. Ang developer, kinilala ni ZachXBT bilang "Gary Lee," na naka-code sa ilalim ng pseudonym na LightFury at inilagay ang kanyang mga kita sa "Jun Kai" at isa pang proxy address na naka-link kay Kim.

Matapos i-pin ng publiko SUSHI ang pag-atake sa pseudonym ni Keller, "eratos1122," at nagbanta na isangkot ang FBI, si Grujic ibinalik ang mga ninakaw na pondo. Bagama't maaaring mukhang counterintuitive na ang isang DPRK IT worker ay nagmamalasakit sa pagprotekta sa isang pekeng pagkakakilanlan, ang mga manggagawa sa DPRK IT ay tila muling gumagamit ng ilang mga pangalan at bubuo ng kanilang mga reputasyon sa paglipas ng panahon sa pamamagitan ng pag-aambag sa maraming mga proyekto, marahil bilang isang paraan upang makakuha ng kredibilidad sa mga hinaharap na employer.

Maaaring may nagpasya na ang pagprotekta sa alyas na Anthony Keller ay mas kumikita sa katagalan: Noong 2023, dalawang taon pagkatapos ng insidente sa SUSHI , isang taong nagngangalang "Anthony Keller" ang nag-apply sa Truflation, ang kumpanya ni Stefan Rust.

Ang mga pagtatangkang makipag-ugnayan kay "Anthony Keller" at "Sava Grujic" para sa komento ay hindi nagtagumpay.

Mga pagnanakaw sa istilo ng DPRK

Ang North Korea ay nagnakaw ng higit sa $3 bilyon sa Cryptocurrency sa pamamagitan ng mga hack sa nakalipas na pitong taon, ayon sa UN. Sa mga hack na sinusubaybayan ng blockchain analysis firm Chainalysis sa unang kalahati ng 2023 at pinaniniwalaan nitong konektado sa DPRK, “humigit-kumulang kalahati sa kanila ang may kinalaman sa pagnanakaw na may kaugnayan sa IT worker,” sabi ni Madeleine Kennedy, isang tagapagsalita para sa kompanya.

Ang mga cyberattack sa North Korea ay T malamang na katulad ng Hollywood na bersyon ng pag-hack, kung saan ang mga programmer na may suot na hoodie ay pumapasok sa mga mainframe gamit ang sopistikadong computer code at black-and-green na mga terminal ng computer.

Ang mga pag-atake sa istilo ng DPRK ay talagang mas mababang teknolohiya. Karaniwang kinasasangkutan ng mga ito ang ilang bersyon ng social engineering, kung saan nakukuha ng attacker ang tiwala ng isang biktima na may hawak ng mga susi sa isang system at pagkatapos ay direktang kinukuha ang mga key na iyon sa pamamagitan ng isang bagay na kasing simple ng isang nakakahamak LINK ng email .

"Sa ngayon, hindi pa namin nakita ang DPRK na gumawa, tulad ng, isang tunay na pagsasamantala," sabi ni Monahan. "Palagi namang: social engineering, at pagkatapos ay ikompromiso ang device, at pagkatapos ay ikompromiso ang mga pribadong key."

Ang mga manggagawa sa IT ay mahusay na nakalagay upang mag-ambag sa mga pagnanakaw ng DPRK, alinman sa pamamagitan ng pagkuha ng personal na impormasyon na maaaring magamit upang sabotahe ang isang potensyal na target o sa pamamagitan ng pagkakaroon ng direktang access sa mga software system na kapantay ng digital cash.

Isang serye ng mga pagkakataon

Noong Setyembre 25, dahil malapit nang mailathala ang artikulong ito, ang CoinDesk ay naka-iskedyul para sa isang video call sa Truflation's Rust. Ang plano ay i-fact-check ang ilang detalye na ibinahagi niya dati.

Isang naguguluhan na Rust ang sumali sa tawag nang huli ng 15 minuto. Na-hack lang siya.

Naabot ng CoinDesk ang higit sa dalawang dosenang proyekto na tila nalinlang sa pagkuha ng mga manggagawa sa IT ng DPRK. Sa huling dalawang linggo ng pag-uulat lamang, dalawa sa mga proyektong iyon ang na-hack: Truflation at isang Crypto borrowing app na tinatawag na Delta PRIME.

Masyado pang maaga upang matukoy kung ang alinman sa hack ay direktang konektado sa anumang hindi sinasadyang pagkuha ng mga manggagawa sa DPRK IT.

Delta PRIME nauna nang nilabag, noong Setyembre 16. CoinDesk ay dati natuklasang mga pagbabayad at mga kontribusyon ng code nagkokonekta sa Delta PRIME sa Naoki Murano, ONE sa mga developer na naka-link sa DPRK isinapubliko ni ZachXBT, ang pseudonymous blockchain sleuth.

Ang proyekto ay nawalan ng higit sa $7 milyon, opisyal na kasi ng "isang nakompromisong pribadong key." Hindi tumugon ang Delta PRIME sa maraming kahilingan para sa komento.

Ang pag-hack ng Truflation ay sumunod nang wala pang dalawang linggo pagkaraan. Napansin ni Rust ang paglabas ng mga pondo mula sa kanyang Crypto wallet mga dalawang oras bago ang tawag sa CoinDesk. Kakauwi lang niya mula sa isang paglalakbay sa Singapore at nag-aagawan upang maunawaan kung ano ang kanyang nagawang mali. "Wala lang akong ideya kung paano nangyari ito," sabi niya. "Naka-lock lahat ng notebook ko sa safe sa dingding ng hotel ko. Nasa akin ang cellphone ko sa buong oras."

Milyun-milyong dolyar ang umaalis sa mga personal blockchain wallet ni Rust habang nagsasalita siya. "I mean, nakakainis talaga. Iyan ang school ng mga anak ko; pension fees."

Truflation at kalawang tuluyang nawala humigit-kumulang $5 milyon. Ang opisyal na dahilan ay isang ninakaw na pribadong susi.