GetBlock Magazine - Что произошло? Граждане КНДР массово устраиваются в криптокомпании по фальшивым документам в качестве разработчиков на удаленке, что создает риски взломов и попадания под санкции, пишут журналисты CoinDesk в новом масштабном расследовании. В качестве одного из примеров они привели потерявший 5 млн долларов стартап Truflation Стефана Руста, штат которого в определенный период на 1/3 состоял из северокорейцев, при устройстве представившихся японцами.
Материал CoinDesk
Что еще известно? Власти США все чаще стали выпускать предупреждения о том, что северокорейские работники ИТ-сферы стремятся проникнуть в зарубежные компании для организации притока средств в страну в условиях международных санкций. Отдельно отмечается, что полученные ими средства идут на финансирование правительственной программы вооружений.
Ранее власти выпускали аналогичное заявление относительно группировки хакеров Lazarus из КНДР, их также связывают с финансированием ядерной программы. Более того, связь с хакерами стала одной из причин внесения в санкционный список нескольких криптомикшеров, включая Tornado Cash и Sinbad.
Согласно отчету ООН за 2024 год, ИТ-работники ежегодно зарабатывают для режима Ким Чен Ына до 600 млн долларов. Важно, что даже непреднамеренные найм и оплата труда работников из КНДР нарушают санкции и грозят самим стартапам преследованием по закону. Кроме того, эти действия представляют серьезную угрозу безопасности, поскольку такие сотрудники имеют доступ к внутренним системам и могут вывести все средства из проектов.
Журналисты CoinDesk обнаружили свыше десятка криптопроектов, которые по незнанию наняли разработчиков из КНДР, среди них Cosmos Hub, Injective, ZeroLend, Fantom, Sushi и Yearn Finance. Некоторые случаи имели место еще в 2018 году, однако в издании отмечают, что с годами эта практика все более широко распространяется в криптоиндустрии. Сами компании предпочитали не заявлять о подобных инцидентах, опасаясь юридических последствий.
Зачастую северокорейские сотрудники просто выполняли оговоренную работу, однако некоторые переводили свою заработную плату на блокчейн-адреса правительства Северной Кореи. Также зафиксированы случаи, когда «работники» в конечном счете организовывали взломы. Так было и с DeFi-протоколом Sushi, который в 2021 году потерял 3 млн долларов.
При устройстве северокорейские разработчики конечно же не сообщают о своих реальных гражданстве и месте проживания. Они предоставляют поддельные паспорта и реальные репозитории на GitHub, которые активно ведутся много лет подряд. Наибольшему риску подвержены молодые криптофирмы: они готовы нанять специалиста после беседы в Discord, платят зарплату криптовалютой и не имеют механизмов проверки биографических данных.
В результате граждане КНДР могут быть наняты как напрямую в стартап, так и в качестве подрядчиков — последний случай имел место с блокчейном Cosmos Hub в 2021 году, причем команда проекта очень высоко оценила результаты их работы. Лишь спустя два года разработчик Cosmos Заки Маниан получил от ФБР письмо, где сообщалось, что выплаченные им токены ушли на северокорейские криптокошельки.
CoinDesk удалось выяснить, что средства уходили в том числе Сим Хен Сопу из северокорейского банка Kwangson, финансирующего правительственную программу создания оружия массового поражения и баллистических ракет. Также средства отправлялись Ким Санг Ману из Chinyong Information Technology Cooperation Company, которая нанимает разработчиков из России и Лаоса. Оба включены в санкционные списки Минфина США.
Также на их адреса поступали токены, связанные с НКО Fantom Foundation, занимающейся поддержкой одноименного блокчейна. Это говорит о том, что в команде Fantom также работали граждане КНДР. Компания сообщила, что речь идет о двух разработчиках на аутсорсе, привлеченных в 2021 году и не имевших доступа к кодовой базе, причем создаваемый ими проект в конечном итоге так и не был развернут. В Fantom признали, что один из сотрудников пытался атаковать серверы, но потерпел неудачу, поскольку не имел необходимого доступа.
Гендиректор компании-разработчика DeFi-платформы Injective Эрик Чен также признался, что в 2020 году нанял одного разработчика из КНДР, но быстро уволил его, потому что тот «писал паршивый код, который плохо работал». О потенциальном нарушении Чен узнал лишь через три года, когда к нему обратились власти США.
При этом власти США не стали предъявлять самим фирмам никаких обвинений. Как пишут журналисты, правоохранители «в какой–то степени признавали, что фирмы стали жертвами, в лучшем случае, необычайно сложного и изощренного мошенничества с личными данными, а в худшем — длительной аферы самого унизительного характера».
Собеседники издания из криптокомпаний подчеркивают, что сами разработчики из КНДР не являются основными выгодополучателями — они лишь эксплуатируются режимом. Так, по данным ООН, им остается лишь 10-30% от заработной платы.
В августе DeFi-протокол DeltaPrime потерял 6 млн долларов в результате эксплойта. Примечательно, что еще до инцидента популярный анонимный блокчейн-аналитик ZachXBT сообщил, что компания нанимала ИТ-специалистов из КНДР. В целом он опубликовал данные о нескольких северокорейских разработчиках, проникших в криптопространство.
Стартап Cluster воспользовался этой информацией ZachXBT и уволил двух разработчиков, не успев пострадать. Команда отметила, что в ходе работы было несколько «красных флагов», на которые стоило обратить внимание. Например, эти сотрудники регулярно меняли платежные адреса и никнеймы в мессенджерах.
Собеседники издания выделили и другие признаки. Так, время работы не соответствовало предполагаемым местам проживания разработчиков, а иногда за одного разработчика себя пытались выдавать разные люди, что можно было вычислить по разнице голоса и акцента, а также незнанию деталей предыдущего созвона.