Проект Ketman, действующий в рамках программы безопасности ETH Rangers Фонда Ethereum, в последних новостях об Ethereum сообщил об обнаружении около 100 северокорейских IT-специалистов, работающих в сфере криптовалют, которые внедрились в Web3-компании под вымышленными именами. Это результат шестимесячного расследования, завершившегося одним из самых подробных публичных отчетов о проникновении инсайдеров из КНДР в сектор за всю его историю.
Модель угроз изменилась. Если раньше государственные криптооперации Северной Кореи были сосредоточены на удаленных эксплойтах и взломах бирж, то в 2025 году наблюдается скоординированное внедрение рабочей силы: оперативники проходят проверки отдела кадров, получают доступ к внутренним репозиториям и месяцами работают в продуктовых командах до их обнаружения.
- Обнаруженные оперативники: ~100 IT-специалистов из КНДР, работавших под вымышленными именами в Web3-фирмах
- Продолжительность расследования: Шесть месяцев, проведено Проектом Ketman при поддержке ETH Rangers
- Масштаб программы: ETH Rangers профинансировали 17 независимых исследователей, вернули или заморозили активы на сумму 5,8 млн долларов, выявили более 785 уязвимостей, провели 36 реагирований на инциденты
- Масштаб хищений КНДР: 2,02 млрд долларов украдено только в 2025 году – рост на 51% по сравнению с 2024 годом – что довело совокупный доход до 6,75 млрд долларов
- Взлом Drift Protocol: Атакующие, связанные с КНДР, осуществили эксплойт на 285 млн долларов 1 апреля 2026 года – крупнейший DeFi-взлом года
- Реальный случай: Биржа Stabble выпустила предупреждение о выводе средств после того, как IT-специалист из КНДР внедрился в ее руководство
- Внимание: Следователи активно отслеживают средства, полученные от эксплойта Drift; ожидается усиление регуляторного контроля за проверкой сотрудников в сфере DeFi
Новости Ethereum: Как на самом деле работало крипторасследование ETH Rangers – и что на самом деле означает 100 северокорейских оперативников
ETH Rangers были запущены в конце 2024 года в рамках партнерства между Фондом Ethereum, Secureum, The Red Guild и Security Alliance (SEAL). В рамках шестимесячного мандата для усиления защиты экосистемы Ethereum было задействовано 17 независимых исследователей безопасности.
Проект Ketman стал одним из таких финансируемых направлений, и его результаты вышли далеко за рамки стандартного аудита или программы вознаграждения за обнаружение ошибок (bug bounty).
Идентификация 100 оперативников означает сопоставление вымышленных личностей с известными паттернами подрывной деятельности КНДР: непоследовательная история работы, модели общения, указывающие на маскировку часовых поясов, маршрутизация платежей через определенных посредников и технические отпечатки, повторяющиеся у несвязанных кандидатов. Это работа разведки, а не просто исследование безопасности.
Это требует постоянного мониторинга досок вакансий, активности на GitHub, каналов найма и поведенческих сигналов внутри существующих команд.
Более широкая программа ETH Rangers принесла ощутимые результаты, помимо работы Ketman: участники вернули или заморозили более 5,8 миллиона долларов в виде экспроприированных средств, отследили более 785 уязвимостей и эксплойтов с доказательством концепции, провели 36 операций по реагированию на инциденты и провели более 80 обучающих сессий по безопасности.
Результаты с открытым исходным кодом включали платформу для анализа инцидентов в DeFi, детектор подозрительных аккаунтов GitHub и фреймворк для тестирования DoS на стороне клиента.
Этот инструмент для GitHub особенно актуален. Обнаружение подозрительных аккаунтов — это именно та возможность, которая необходима для выявления разработчиков, связанных с КНДР и действующих скрытно, — аккаунтов с искусственно созданными историями вкладов, скоординированными моделями активности или аномальным доступом к репозиториям. Выводы Ketman, вероятно, опирались именно на эти инструменты.
Что не означает «100 оперативников»: это не значит, что эти люди обязательно запускали эксплойты в режиме реального времени. Внедрение IT-специалистов из КНДР служит нескольким целям: получение дохода для режима через легальные зарплаты, сбор разведывательной информации о протоколах и кодовых базах, а также предварительное позиционирование для будущих атак.
Непосредственный финансовый ущерб может быть ограничен; долгосрочное воздействие является структурным.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ahmed Barakat
