كشفت النتائج الأخيرة التي توصل إليها خبير الأمن السيبراني ZachXBT عن مخطط معقد للسرقة وغسل الأموال كوري شمالي عمال تكنولوجيا المعلومات يتظاهرون بأنهم مطورو العملات المشفرة. كشفت العملية، التي أدت إلى سرقة 1.3 مليون دولار من خزانة المشروع، عن شبكة تضم أكثر من 25 مشروع عملات مشفرة مخترقة نشطة منذ يونيو 2024.
يشير تحقيق ZachXBT إلى كيان واحد، من المحتمل أن يعمل خارج كوريا الشمالية، وكان يتلقى ما بين 300,000 دولار و500,000 دولار شهريًا من خلال التسلل في نفس الوقت إلى مشاريع تشفير متعددة باستخدام هويات مزيفة.
مخطط السرقة والغسيل
تم الكشف عن الحادث عندما طلب فريق مشروع مجهول مساعدة ZachXBT بعد سرقة 1.3 مليون دولار من خزينتهم. وبدون علمه، قام الفريق بتعيين العديد من العاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية الذين استخدموا هويات مزيفة للانضمام إلى المشروع.
تم غسل الأموال المسروقة بسرعة من خلال سلسلة من المعاملات المعقدة. وشمل ذلك تحويل الأموال إلى عنوان السرقة، ونقل الأصول من Solana إلى Ethereum عبر deBridge، وإيداع 50.2 ETH في Tornado Cash، وفي النهاية تحويل 16.5 ETH إلى منصتين مختلفتين.
رسم خرائط الشبكة
وكشف المزيد من التحقيقات أن هؤلاء المطورين كانوا جزءًا من شبكة منظمة أكبر. تتبعت ZachXBT عناوين دفع متعددة، وكشفت عن مجموعة من 21 مطورًا تلقوا بشكل جماعي ما يقرب من 375,000 دولار في الشهر الماضي وحده.
وربط هذا التحقيق أيضًا الأنشطة الحالية بالمعاملات السابقة التي تبلغ قيمتها 5.5 مليون دولار، والتي تم تحويلها إلى عنوان إيداع تبادل بين يوليو 2023 و2024. وكانت هذه المعاملات مرتبطة بعمال تكنولوجيا المعلومات في كوريا الشمالية وسيم هيون سوب، وهو الرقم الذي فرضت عليه الولايات المتحدة عقوبات بالفعل. مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة (OFAC). وكشف التحقيق عن تداخلات في عناوين IP المرتبطة بشركة الاتصالات الروسية، على الرغم من أن المطورين ادعوا أن مقرهم في الولايات المتحدة وماليزيا.
وفي إحدى الحالات، كشف أحد المطورين عن غير قصد عن هويات أخرى أثناء التسجيل، مما أدى إلى مزيد من الاتصالات بين عناوين الدفع والأفراد الخاضعين لعقوبات مكتب مراقبة الأصول الأجنبية، بما في ذلك سانج مان كيم وسيم هيون سوب. كما سلط التحقيق الضوء على دور شركات التوظيف في تعيين هؤلاء المطورين، مما يضيف طبقة أخرى من التعقيد. وظفت بعض المشاريع ما لا يقل عن ثلاثة من العاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية، وقاموا بإحالة بعضهم البعض، مما أدى إلى تعميق اختراق الشبكة.
اجراءات وقائية
أكد ZachXBT أن العديد من الفرق ذات الخبرة قامت بتعيين مطورين مخادعين دون قصد، مما يجعل من غير العدل إلقاء اللوم على الفرق وحدها. ومع ذلك، هناك العديد من التدابير الوقائية التي يمكن أن تساعد في الحماية من مثل هذه التهديدات. وتشمل هذه:
- توخي الحذر عندما يقوم المطورون بإحالة بعضهم البعض للأدوار.
- فحص السير الذاتية والتحقق من معلومات KYC بدقة.
- طرح أسئلة تفصيلية حول المواقع التي يطالب بها المطورون.
- مراقبة المطورين الذين يظهرون مرة أخرى ضمن حسابات جديدة بعد طردهم.
- مراقبة انخفاض الأداء مع مرور الوقت.
- مراجعة السجلات بانتظام بحثًا عن الحالات الشاذة.
- توخي الحذر من المطورين الذين يستخدمون صور ملفات تعريف NFT الشائعة.
- ملاحظة اللهجات اللغوية التي قد توحي بأصولها في آسيا.
تعتبر هذه الخطوات حاسمة لحماية مشاريع العملات المشفرة من التهديدات المماثلة في المستقبل.