Tommaso Daniels
Recenti scoperte dell'esperto di sicurezza informatica ZachXBT hanno scoperto un sofisticato schema di furto e riciclaggio che coinvolge Corea del Nord Lavoratori IT che si spacciano per sviluppatori di criptovalute. L'operazione, che ha portato al furto di 1.3 milioni di dollari dalle casse di un progetto, ha messo in luce una rete di oltre 25 progetti crittografici compromessi attivi da giugno 2024.
L'indagine di ZachXBT indica una singola entità, probabilmente operante dalla Corea del Nord, che ha ricevuto tra i 300,000 e i 500,000 dollari al mese infiltrandosi contemporaneamente in più progetti crittografici utilizzando identità false.
Il sistema di furto e riciclaggio
L'incidente è venuto alla luce quando un team di progetto anonimo ha cercato l'assistenza di ZachXBT dopo che 1.3 milioni di dollari erano stati rubati dal loro tesoro. Ignaro, il team aveva assunto diversi lavoratori IT nordcoreani che utilizzavano identità false per partecipare al progetto.
I fondi rubati furono rapidamente riciclati attraverso una serie di transazioni complesse. Questi includevano il trasferimento dei fondi a un indirizzo di furto, il collegamento di asset da Solana a Ethereum tramite deBridge, il deposito di 50.2 ETH in Tornado Cash e infine il trasferimento di 16.5 ETH a due diversi scambi.
Mappatura della rete
Ulteriori indagini hanno rivelato che questi sviluppatori facevano parte di una rete più ampia e organizzata. ZachXBT ha tracciato più indirizzi di pagamento, scoprendo un gruppo di 21 sviluppatori che complessivamente hanno ricevuto circa 375,000 dollari solo nell'ultimo mese.
Questa indagine ha anche collegato le attività attuali a transazioni precedenti per un totale di 5.5 milioni di dollari, che sono state incanalate in un indirizzo di deposito di cambio tra luglio 2023 e 2024. Queste transazioni erano collegate a lavoratori IT nordcoreani e Sim Hyon Sop, una figura già sanzionata dagli Stati Uniti Ufficio di controllo dei beni esteri del Tesoro (OFAC). Dall'indagine sono emerse sovrapposizioni di indirizzi IP associati a Russian Telecom, anche se gli sviluppatori affermavano di avere sede negli Stati Uniti e in Malesia.
In un caso, uno sviluppatore ha inavvertitamente esposto altre identità mentre veniva registrato, portando a ulteriori collegamenti tra indirizzi di pagamento e individui sanzionati dall'OFAC, tra cui Sang Man Kim e Sim Hyon Sop. L’indagine ha inoltre evidenziato il ruolo delle società di reclutamento nel collocare questi sviluppatori, aggiungendo un ulteriore livello di complessità. Alcuni progetti impiegavano almeno tre lavoratori IT nordcoreani che si indirizzavano a vicenda, approfondendo l'infiltrazione nella rete.
Misure preventive
ZachXBT ha sottolineato che molti team esperti hanno inconsapevolmente assunto sviluppatori ingannevoli, rendendo ingiusto incolpare esclusivamente i team. Tuttavia, esistono diverse misure preventive che possono aiutare a proteggersi da tali minacce. Questi includono:
- Prestare attenzione quando gli sviluppatori si riferiscono a vicenda per i ruoli.
- Esaminare i curriculum e verificare attentamente le informazioni KYC.
- Porre domande dettagliate sulle posizioni rivendicate dagli sviluppatori.
- Monitoraggio per gli sviluppatori che ricompaiono con nuovi account dopo essere stati licenziati.
- Osservare un calo delle prestazioni nel tempo.
- Revisione regolare dei registri per individuare eventuali anomalie.
- Essere cauti nei confronti degli sviluppatori che utilizzano immagini di profilo NFT popolari.
- Notando accenti linguistici che potrebbero suggerire origini asiatiche.
Questi passaggi sono cruciali per salvaguardare i progetti crittografici da minacce simili in futuro.
