Ludzki multi-sig: Pokonanie północnokoreańskiej infiltracji kryptowalut

Podręcznik bezpieczeństwa uległ zmianie.

Ataki typu brute-force wciąż istnieją, ale obecnie ostrzejsze zagrożenie przypomina bardziej zindustrializowany model uśpionego agenta:

Złośliwi aktorzy dostają się do zespołów, przepływów pracy i systemów dostępu, czekając na najczystszy moment, by uderzyć.

To sprawia, że zatrudnianie to znacznie więcej niż tylko poszukiwanie talentów. Każde nowe techniczne zatrudnienie staje się decyzją o zaufaniu z realnym ryzykiem finansowym. Jeden skompromitowany deweloper, jeden źle sprawdzony kontraktor lub jeden wewnętrzny wektor może zamienić dokumenty onboardingowe w miliony utraconej całkowitej wartości zablokowanej (TVL).

Fortuny są wydawane na audyty smart kontraktów, ale najbardziej niszczycielskie naruszenie bezpieczeństwa dziś to ludzki backdoor — bezpośrednia ścieżka, której żaden audyt oprogramowania nie jest w stanie wykryć ani zablokować.

 

Wykorzystywanie każdej podatności

Dla giełdy kryptowalut lub protokołu zdecentralizowanych finansów (DeFi) każde nowe zatrudnienie jest w praktyce transakcją o wysokiej dźwigni. Zabezpieczeniem są aktywa użytkowników i reputacja marki.

Sponsorowane przez państwo północnokoreańskie grupy, takie jak słynna Grupa Lazarus, zindustrializowały strategię uśpionych agentów. Ich taktyki przeszły w skomplikowane pułapki fałszywych rekruterów, celujące w samo serce branży kryptowalut.

Kultura pracy zdalnej w kryptowalutach sprawia, że ta strategia jest jeszcze skuteczniejsza, ponieważ jedyną zaporą bezpieczeństwa jest dział HR. W rezultacie działy HR muszą szybko nauczyć się, jak ci agenci omijają techniczne zabezpieczenia, by przeniknąć do zespołów.

Muszą zbudować proces zatrudniania zero-trust, aby chronić nie tylko aktywa i markę, ale także wizję organizacji.

 

Od protokołów do ludzi

Według Chainalysis północnokoreańscy aktorzy zagrożeń ukradli rekordowe 2,02 miliarda dolarów w kryptowalutach w 2025 roku. To ogromny wzrost o 51% rok do roku, z dużą częścią przypisaną do dostępu podobnego do wewnętrznego.

Nowa strategia to Infiltracja w górnym nurcie.

Zamiast włamywać się do firmy, po prostu aplikują o pracę. Po dostaniu się do środka, wyszkolony agent może łatwo zmapować wewnętrzną sieć i zidentyfikować każdy gorący portfel. Rezultatem jest nie tylko utrata środków, ale także całkowite wypaczenie logiki protokołu.

Ta zmiana najlepiej ilustrowana jest przez niszczycielskie ataki socjotechniczne i manipulacje infrastrukturą, które na nowo zdefiniowały bezpieczeństwo giełd i protokołów.

W lutym 2025 roku Grupa Lazarus skompromitowała środowisko deweloperskie infrastruktury, z której korzystał Bybit. Wstrzyknęli złośliwy kod do interfejsu portfela, wprowadzając operatorów w błąd, by ślepo podpisywali to, co wyglądało na „rutynowe transfery”.

Doprowadziło to do rekordowej straty 1,5 miliarda dolarów, podkreślając krytyczną podatność. Bezpieczeństwo giełdy jest tak silne, jak integralność osób zarządzających jej procesem wdrożeniowym.

W kwietniu 2026 roku Kelp zdecentralizowana autonomiczna organizacja (DAO) padła ofiarą eksploitu o wartości 292 milionów dolarów powiązanego z podgrupą TraderTraitor Grupy Lazarus. Śledztwo wykazało, że atakujący skutecznie przeniknęli do projektu jako współtwórcy.

Zatruli proces weryfikacji protokołu i wymusili przełączenie na złośliwą infrastrukturę.

To wyraźne przypomnienie, że zdecentralizowany nie oznacza niezniszczalny, jeśli główni współtwórcy są skompromitowani. To trzeźwa lekcja, że protokół może być tak niezmienny, jak integralność jego programistów.

 

Anatomia pułapki

Infiltracja zaczyna się długo przed pierwszym połączeniem na Zoomie.

• Atakujący tworzą całe cyfrowe historie, aby dostarczyć dowody pracy satysfakcjonujące nawet najbardziej sceptycznych rekruterów.

• Agenci często wykorzystują fałszywe firmy venture capital (VC) lub rekrutacyjne, aby zbudować roczny ślad. Może to obejmować blogi techniczne, rekomendacje na LinkedIn i commity na GitHubie.

Nie kończą na wysłaniu CV. Zamiast tego prezentują wyselekcjonowane, wspomagane przez AI cyfrowe życie, zaprojektowane tak, by wyglądało jak profil wysokiej klasy specjalisty od kryptowalut.

W innych przypadkach agent podszywa się pod rekrutera z prestiżowej giełdy lub firmy VC. Zwraca się do obecnych deweloperów projektu z ofertami pracy wymagającymi zadania technicznego. W rzeczywistości jest to podstęp służący jako mechanizm dostarczenia złośliwego oprogramowania.

Tak było w przypadku Veltrix Capital, która nie była prawdziwą firmą rekrutacyjną. Została zaprojektowana, by zwabić deweloperów kryptowalut do fałszywego procesu aplikacyjnego i rozpocząć swój projekt inżynierii społecznej.

 

Testy kodowania jako konie trojańskie

Faza oceny technicznej to ostateczny punkt wejścia do bezpieczeństwa portfela projektu kryptowalutowego. W standardowym procesie rekrutacyjnym kandydat często wysyła repozytorium do głównego dewelopera do przeglądu.

• Zatrucie zależności: Badacze z ReversingLabs zidentyfikowali złośliwe pakiety takie jak graphalgo (na PyPI) i bigmathutils (na npm), używane specjalnie w tych testach domowych.

• Ładunek: W momencie, gdy menedżer ds. rekrutacji lub główny deweloper uruchamia npm install, aby sprawdzić pracę kandydata, wyświetlany jest skrypt post-install.

• Rezultat: Zostaje wdrożony koń trojański zdalnego dostępu (RAT), często wariant BeaverTail infostealera. Natychmiast sprawdza rozszerzenie przeglądarki MetaMask i wykrada ciasteczka sesji.

Dostarczanie złośliwego oprogramowania jest zakończone. To daje atakującemu dostęp do wewnętrznych środowisk Slack, GitHub i produkcyjnych.

Identyfikacja czerwonych flag podczas rozmów

Wykrycie północnokoreańskich agentów wymaga spojrzenia poza umiejętności techniczne i skupienia się na niespójnościach podczas rozmów na Zoomie.

1. Zwracaj uwagę na uporczywe problemy techniczne lub wymówki dotyczące niskiej przepustowości uniemożliwiające pojawienie się na kamerze podczas szczegółowych rozmów technicznych.

2. Bądź wyczulony na klonowanie głosu przez AI w czasie rzeczywistym lub dziwne opóźnienia w odpowiedziach. To niedopasowanie tożsamości i głosu występuje, gdy jedna osoba prowadzi rozmowę, a inna dostarcza odpowiedzi techniczne w tle.

3. Widoczna jest niespójność między umiejętnościami a doświadczeniem, gdy kandydat na stanowisko Senior Rust ma trudności z improwizowanym wyjaśnianiem prymitywów DeFi. Jeśli potrafi działać tylko po konsultacji z zespołem, prawdopodobnie nie jest tym, za kogo się podaje.

4. Na koniec zwróć uwagę na statyczne lub rozmazane filtry biura domowego, które nie pasują do oświetlenia lub ruchów kandydata. Te niespójności wizualne są często efektem oprogramowania deepfake używanego w czasie rzeczywistym do utrzymania persony agenta.

 

Ludzki błąd

Organizacje muszą wdrożyć ramy rekrutacji zero-trust, aby chronić swoje zasoby przed ludzkim błędem. Takie ramy muszą obejmować rygorystyczną, wielowarstwową weryfikację zanim zostaną przyznane jakiekolwiek wewnętrzne uprawnienia.

Ramy rekrutacji zero-trust zastępują rekrutację opartą na zaufaniu cyklem weryfikacji odpornym na zagrożenia, w którym żadne poświadczenie nie jest ważne, dopóki nie zostanie udowodnione. Projekty neutralizują zagrożenie zaawansowanych syntetycznych kandydatów poprzez zakotwiczenie tożsamości i weryfikację umiejętności w czasie rzeczywistym.

W Web3 każde zatrudnienie jest inwestycją w opiekę nad protokołem, a w rezultacie dodaje nowego sygnatariusza do organizacyjnego multi-sig. Wraz ze wzrostem złożoności strategii hakerskich, zdalne działy HR muszą być edukowane w zakresie naruszeń bezpieczeństwa i wdrażać rygorystyczną weryfikację przed wydaniem jakichkolwiek umów potencjalnym zatrudnionym.

Jak wdrożyć rekrutację zero-trust

Social Operational Security (Social OpSec) to defensywne ramy zaprojektowane do oczyszczania cyfrowego śladu zespołu. Zapewniają, że rozproszone dane publiczne nie mogą być wykorzystane przez sponsorowanych przez państwo aktorów do przeprowadzenia złożonego włamania organizacyjnego.

Proces rekrutacji protokołu musi być tak bezpieczny jak jego smart kontrakty, aby chronić aktywa interesariuszy. Aby to osiągnąć, zaleca się natychmiastowe wdrożenie następujących kroków:

• Weryfikacja tożsamości: Użyj usługi weryfikacji tożsamości na żywo (takiej jak Jumio lub Clear), aby potwierdzić tożsamość kandydata na podstawie jego dokumentu tożsamości wydanego przez rząd. Musi to być wykonane w czasie rzeczywistym podczas pierwszego połączenia wideo.

• Izolowane testy techniczne: Nigdy nie uruchamiaj kodu kandydata na lokalnym komputerze. Używaj odizolowanych, tymczasowych środowisk chmurowych, takich jak Gitpod lub Replit, do przeglądania i uruchamiania kodu. To odpowiednik używania portfela spalania przy ryzykownych mintach.

• Kodowanie na żywo z kamerą: Zastąp testy domowe sesjami kodowania lub whiteboardingu na żywo. Zapobiega to outsourcingowi pracy przez kandydatów do zespołów wsparcia w tle.

• Audyt zależności: Przed przeglądem jakiegokolwiek zewnętrznego repozytorium, przeskanuj pliki konfiguracyjne (np. package.json) pod kątem nieznanych lub rzadko pobieranych pakietów. Mogą to być fałszywe wersje legalnych narzędzi.

 

Poza zaporą ogniową

Bezpieczeństwo w 2026 roku nie jest już tylko odpowiedzialnością dyrektora technicznego (CTO); zaczyna się od działu HR.

Przypadki Kelp DAO i Bybit pokazują, że nawet najbardziej solidne konfiguracje techniczne mogą zostać zniszczone przez jednego skompromitowanego, zaufanego człowieka. Model rekrutacji zero-trust pomaga zapewnić, że nowi pracownicy są tam, by budować wizję, a nie ją niszczyć.

Traktowanie każdego zatrudnienia z taką samą dokładnością jak transakcje warte miliony dolarów to jedyny sposób na zapewnienie długoterminowego przetrwania protokołu.

 

Jak kupić kryptowaluty na Toobit

Aby kupić kryptowaluty na Toobit, utwórz konto, przejdź weryfikację i przejdź do sekcji Kup kryptowaluty. Wybierz token, metodę płatności i potwierdź zakup. Twoje aktywa pojawią się w koncie Spot po zakończeniu transakcji.

Gratulacje, teraz wiesz, jak kupić kryptowaluty na Toobit!