Спящие агенты КНДР в DeFi: как хакеры 7 лет тайно строили SushiSwap и Fantom

Криптоиндустрия столкнулась с реальностью, которая больше напоминает шпионский триллер: северокорейские разработчики годами внедрялись в крупнейшие децентрализованные протоколы. То, что начиналось как разовые инциденты, оказалось масштабной стратегией государственного уровня.

Семь лет в тени: как агенты КНДР строили DeFi-экосистему

Недавние разоблачения экспертов в области кибербезопасности пролили свет на глубину проникновения северокорейских специалистов в сектор децентрализованных финансов. По словам Тейлор Монахан, разработчицы MetaMask, IT-работники из КНДР участвуют в создании популярных протоколов как минимум с 2020 года — периода, известного как «лето DeFi».

«Многие протоколы, которые вы знаете и любите, создавались ими. Семь лет опыта блокчейн-разработки в их резюме — это не ложь», — подчеркнула Монахан. В списке проектов, к коду которых могли приложить руку агенты Пхеньяна, значатся такие гиганты, как SushiSwap, Thorchain, Fantom, Yearn, Shiba Inu и Floki.

Маскировка и социальная инженерия: опыт Solana-агрегатора Titan

Методы внедрения становятся всё более изощренными. Основатель агрегатора Titan Тим Ахл поделился историей о кандидате, который обладал высочайшей квалификацией и без проблем выходил на видеосвязь. Обман раскрылся лишь тогда, когда разработчик наотрез отказался от личной встречи.

Позже выяснилось, что этот специалист был связан с печально известной Lazarus Group. По данным Ахла, группировка начала вербовать агентов, не являющихся гражданами КНДР, чтобы те лично втирались в доверие к командам криптопроектов, обходя первичные проверки.

Взлом Drift Protocol на $280 млн: цена беспечности

Очередным подтверждением угрозы стал отчет команды Drift Protocol, потерявшей 280 миллионов долларов в результате атаки. Расследование показало, что за взломом стояли северокорейские хакеры, которые использовали уязвимости, заложенные или обнаруженные в ходе тесного взаимодействия с инфраструктурой проекта.

Классификация угроз: мнение ZachXBT

Известный блокчейн-детектив ZachXBT призывает не демонизировать «Lazarus Group» как единое целое, а разделять угрозы по уровню сложности. По его мнению, стандартные схемы через LinkedIn, Zoom или почтовые рассылки являются «примитивными». Их главным инструментом остается настойчивость, а не технический гений.

Кто представляет реальную опасность?

Согласно анализу ZachXBT, на фоне общей массы IT-работников выделяются две специализированные группы:
1. TraderTraitor — специализируются на сложных целевых атаках на сотрудников криптокомпаний.
2. AppleJeus — эксперты по созданию вредоносного ПО, замаскированного под торговые платформы или инструменты.

Как защитить проект: выводы для индустрии

Ситуация требует от DeFi-сообщества пересмотра подходов к найму и безопасности:

Тщательный бэкграунд-чекинг: Видеозвонка и сильного GitHub-аккаунта уже недостаточно.
Многоуровневый аудит кода: Любые изменения, внесенные даже «проверенными» разработчиками, должны проходить независимую проверку.
Децентрализация прав доступа: Ни один анонимный или удаленный сотрудник не должен обладать полным контролем над смарт-контрактами или закрытыми ключами.

Проблема «внутренней угрозы» из КНДР подчеркивает хрупкость доверия в анонимной среде Web3. Профессионализм и бдительность становятся единственным заслоном против государственного кибершпионажа.