Multi-sig manusia: Mengalahkan infiltrasi kripto Korea Utara

Buku panduan keamanan telah berubah.

Peretasan brute-force masih ada, tetapi ancaman yang lebih tajam sekarang terlihat lebih seperti model agen tidur yang terindustrialisasi:

Pelaku jahat menyusup ke dalam tim, alur kerja, dan sistem akses sebelum menunggu momen paling bersih untuk menyerang.

Hal itu membuat perekrutan menjadi lebih dari sekadar pencarian bakat. Setiap perekrutan teknis baru menjadi keputusan kepercayaan dengan risiko nyata terhadap neraca keuangan. Satu pengembang yang terkompromi, satu kontraktor yang tidak disaring dengan baik, atau satu vektor orang dalam dapat mengubah dokumen onboarding menjadi jutaan dalam nilai total terkunci (TVL) yang terkuras.

Kekayaan dihabiskan untuk audit smart contract, tetapi pelanggaran keamanan paling menghancurkan saat ini adalah pintu belakang manusia, jalur langsung yang tidak dapat dideteksi atau diblokir oleh audit perangkat lunak apa pun.

 

Mengeksploitasi setiap kerentanan

Untuk bursa kripto atau protokol keuangan terdesentralisasi (DeFi), setiap perekrutan baru pada dasarnya adalah perdagangan dengan leverage tinggi. Jaminannya adalah aset pengguna dan reputasi merek.

Kelompok yang disponsori negara Korea Utara seperti Lazarus Group yang terkenal telah mengindustrialisasi strategi agen tidur. Taktik mereka bergeser ke jebakan perekrut palsu yang rumit, menargetkan jantung industri kripto.

Budaya remote-first kripto secara efektif membuat strategi ini lebih efektif, karena satu-satunya firewall keamanan adalah departemen sumber daya manusia (HR). Akibatnya, departemen HR harus dengan cepat mempelajari bagaimana para pelaku ini melewati pertahanan teknis untuk menyusup ke tim.

Mereka harus membangun proses perekrutan tanpa kepercayaan (zero-trust) untuk melindungi tidak hanya aset dan merek, tetapi juga visinya.

 

Dari protokol ke manusia

Menurut Chainalysis, pelaku ancaman Korea Utara mencuri rekor $2,02 miliar dalam kripto pada tahun 2025. Itu merupakan peningkatan 51% dari tahun ke tahun, dengan sebagian besar disebabkan oleh akses seperti orang dalam.

Strategi baru ini disebut Infiltrasi Hulu (Upstream Infiltration).

Alih-alih membobol perusahaan, mereka cukup melamar pekerjaan. Setelah diterima, agen terampil dapat dengan mudah memetakan jaringan internal dan mengidentifikasi setiap dompet panas. Hasilnya bukan hanya kehilangan dana tetapi juga pembalikan total logika protokol.

Perubahan ini paling baik digambarkan oleh rekayasa sosial dan manipulasi infrastruktur yang menghancurkan, yang telah mendefinisikan ulang keamanan bursa dan protokol.

Pada Februari 2025, Lazarus Group mengkompromikan lingkungan pengembangan infrastruktur yang digunakan oleh Bybit. Mereka menyuntikkan kode berbahaya ke antarmuka dompet, menipu operator untuk menandatangani secara buta apa yang tampak seperti “transfer rutin.”

Hal itu menyebabkan kerugian rekor sebesar $1,5 miliar, menyoroti kerentanan kritis. Keamanan bursa hanya sekuat integritas individu yang mengelola jalur penerapan.

Pada April 2026, Kelp organisasi otonom terdesentralisasi (DAO) mengalami eksploitasi senilai $292 juta yang terkait dengan subkelompok TraderTraitor dari Lazarus. Investigasi mengungkap bahwa penyerang berhasil menyusup ke proyek sebagai kontributor.

Mereka meracuni proses verifikasi protokol dan memaksa failover ke infrastruktur berbahaya.

Ini adalah pengingat keras bahwa desentralisasi tidak berarti tidak dapat diretas jika kontributor inti terkompromi. Ini menjadi pelajaran serius bahwa protokol hanya dapat sekuat integritas pengembangnya.

 

Anatomi jebakan

Infiltrasi dimulai jauh sebelum panggilan Zoom pertama.

• Penyerang membuat seluruh riwayat digital untuk memberikan bukti kerja yang memuaskan bahkan perekrut paling skeptis.

• Operator sering menggunakan perusahaan modal ventura (VC) atau perekrutan palsu untuk membangun jejak selama setahun. Ini bisa mencakup blog teknis, dukungan LinkedIn, dan komit GitHub.

Mereka tidak berhenti hanya dengan mengirimkan resume. Sebaliknya, mereka menampilkan kehidupan digital yang dikurasi dan ditingkatkan AI yang dirancang agar terlihat seperti ahli kripto kelas atas.

Dalam kasus lain, operator berpura-pura menjadi perekrut dari bursa atau perusahaan VC bergengsi. Mereka mendekati pengembang proyek dengan tawaran pekerjaan yang memerlukan tugas penyaringan teknis. Padahal, itu adalah tipu muslihat yang berfungsi sebagai mekanisme pengiriman malware.

Inilah yang terjadi pada Veltrix Capital, yang sebenarnya bukan perusahaan perekrutan nyata. Itu dirancang untuk memikat pengembang kripto ke dalam proses lamaran palsu untuk memulai proyek rekayasa sosial.

 

Tes coding sebagai kuda Troya

Tahap penilaian teknis adalah titik masuk utama ke keamanan dompet proyek kripto. Dalam alur perekrutan standar, umum bagi kandidat untuk mengirim repositori ke pengembang utama untuk ditinjau.

• Keracunan dependensi: Peneliti di ReversingLabs telah mengidentifikasi paket berbahaya seperti graphalgo (di PyPI) dan bigmathutils (di npm) yang digunakan khusus dalam tes ini.

• Payload: Saat manajer perekrutan atau pengembang utama menjalankan npm install untuk memeriksa pekerjaan kandidat, skrip pasca-instalasi akan dijalankan.

• Hasilnya: Trojan Akses Jarak Jauh (RAT), sering kali varian dari pencuri informasi BeaverTail, diinstal. Ia segera memeriksa ekstensi browser MetaMask dan mengekstrak cookie sesi.

Pengiriman malware selesai. Ini memberikan penyerang akses ke Slack internal, GitHub, dan lingkungan produksi.

Mengidentifikasi tanda bahaya selama panggilan

Mendeteksi operator Korea Utara memerlukan pengamatan di luar keterampilan teknis dan fokus pada inkonsistensi selama panggilan Zoom, misalnya.

1. Waspadai gangguan teknis yang terus-menerus atau alasan bandwidth rendah yang menghalangi tampil di kamera selama diskusi teknis mendalam.

2. Peka terhadap kloning suara AI waktu nyata atau penundaan aneh dalam respons. Ketidaksesuaian identitas-suara ini terjadi ketika satu orang berbicara sementara yang lain memberikan jawaban teknis di latar belakang.

3. Ada ketidaksesuaian keterampilan dan kematangan yang jelas ketika kandidat Senior Rust kesulitan dengan whiteboarding langsung tentang dasar-dasar DeFi. Jika mereka hanya bisa bekerja setelah berkonsultasi dengan timnya, kemungkinan besar mereka bukan siapa yang mereka klaim.

4. Terakhir, perhatikan filter kantor rumah statis atau buram yang tidak sesuai dengan pencahayaan atau gerakan kandidat. Inkonsistensi visual ini sering kali merupakan hasil dari perangkat lunak deepfake waktu nyata yang digunakan untuk mempertahankan persona operator.

 

Bug manusia

Organisasi harus menerapkan kerangka perekrutan tanpa kepercayaan (zero-trust) untuk melindungi perbendaharaan dari bug manusia. Kerangka ini harus memiliki verifikasi berlapis ketat sebelum izin internal diberikan.

Kerangka perekrutan tanpa kepercayaan menggantikan perekrutan berbasis kepercayaan dengan siklus validasi yang diperkuat keamanan di mana tidak ada kredensial yang sah sampai terbukti. Proyek menetralkan ancaman pelamar sintetis canggih dengan menambatkan identitas dan memverifikasi keterampilan secara waktu nyata.

Dalam Web3, setiap perekrutan adalah investasi dalam penjagaan protokol, dan akibatnya, menambah penandatangan baru ke multi-sig organisasi. Dengan meningkatnya kompleksitas strategi peretas, departemen HR jarak jauh harus terus mendapat pendidikan tentang pelanggaran keamanan dan menerapkan verifikasi ketat sebelum merilis kontrak apa pun kepada calon perekrut.

Cara menerapkan perekrutan tanpa kepercayaan

Social Operational Security (Social OpSec) adalah kerangka pertahanan yang dirancang untuk membersihkan jejak digital tim. Ini memastikan bahwa data publik yang terfragmentasi tidak dapat dimanfaatkan oleh aktor yang disponsori negara untuk merekayasa pelanggaran organisasi yang rumit.

Saluran perekrutan protokol harus seaman smart contract-nya untuk melindungi aset pemangku kepentingan. Untuk melakukannya, penerapan segera langkah-langkah berikut direkomendasikan:

• Verifikasi berbasis identitas: Gunakan layanan verifikasi ID langsung (seperti Jumio atau Clear) untuk mengonfirmasi identitas kandidat dengan ID pemerintah mereka. Ini harus dilakukan secara waktu nyata selama panggilan video pertama.

• Penilaian teknis terisolasi: Jangan pernah menjalankan kode kandidat di mesin lokal. Gunakan lingkungan cloud terisolasi seperti Gitpod atau Replit untuk meninjau dan menjalankan kode. Ini setara dengan menggunakan dompet bakar untuk mint berisiko.

• Koding langsung dengan kamera aktif: Ganti tes pekerjaan rumah dengan sesi whiteboarding atau koding interaktif langsung. Ini mencegah kandidat mengalihdayakan pekerjaan ke tim pendukung latar belakang.

• Audit dependensi Anda: Sebelum meninjau repositori eksternal, pindai file konfigurasi (seperti package.json) untuk paket yang tidak dikenal atau sedikit diunduh. Ini mungkin versi tipografi dari alat sah.

 

Melampaui firewall

Keamanan tidak lagi hanya menjadi tanggung jawab Chief Technical Officer (CTO) pada tahun 2026; itu dimulai dari departemen HR.

Kasus di Kelp DAO dan Bybit menunjukkan bahwa bahkan pengaturan teknis paling kuat pun dapat runtuh oleh satu orang tepercaya yang terkompromi. Model perekrutan tanpa kepercayaan membantu memastikan bahwa perekrutan baru ada untuk membangun visi, bukan menghancurkannya.

Memperlakukan setiap perekrutan dengan ketelitian yang sama seperti perdagangan bernilai jutaan dolar adalah satu-satunya cara untuk memastikan kelangsungan hidup protokol jangka panjang.

 

Cara membeli kripto di Toobit

Untuk membeli kripto di Toobit, buat akun, selesaikan verifikasi, dan buka menu Beli kripto. Pilih token, pilih metode pembayaran, dan konfirmasi pembelian. Aset Anda akan muncul di Akun Spot setelah transaksi selesai.

Selamat, sekarang Anda tahu cara membeli kripto di Toobit!