Человеческий мульти-сиг: противостояние северокорейскому криптовзлому

План действий по обеспечению безопасности изменился.

Атаки методом перебора всё ещё существуют, но более острая угроза теперь выглядит как индустриализированная модель спящего агента:

Злоумышленники проникают в команды, рабочие процессы и системы доступа, ожидая наиболее подходящего момента для удара.

Это делает найм гораздо больше, чем просто поиск талантов. Каждый новый технический сотрудник становится решением о доверии с реальными рисками для баланса компании. Один скомпрометированный разработчик, один плохо проверенный подрядчик или один внутренний вектор могут превратить оформление документов в миллионы утраченной общей заблокированной стоимости (TVL).

Состояния тратятся на аудиты смарт-контрактов, но самая разрушительная утечка безопасности сегодня — это человеческая лазейка, прямой путь, который ни один аудит программного обеспечения не может обнаружить или заблокировать.

 

Использование каждой уязвимости

Для криптобиржи или протокола децентрализованных финансов (DeFi) каждый новый сотрудник фактически является высокорисковой сделкой. Залогом служат активы пользователей и репутация бренда.

Государственные группы Северной Кореи, такие как печально известная Lazarus Group, индустриализировали стратегию спящих агентов. Их тактика сместилась к сложным ловушкам с фальшивыми рекрутерами, нацеленным в самое сердце криптоиндустрии.

Культура удалённой работы в крипто делает эту стратегию ещё более эффективной, поскольку единственным защитным барьером является отдел кадров (HR). В результате HR-отделы должны быстро понять, как эти операторы обходят технические защиты, чтобы проникнуть в команды.

Им необходимо построить процесс найма с нулевым доверием, чтобы защитить не только активы и бренд, но и видение компании.

 

От протоколов к людям

Согласно данным Chainalysis, северокорейские злоумышленники украли рекордные $2,02 миллиарда в криптовалюте в 2025 году. Это ошеломляющее увеличение на 51% по сравнению с предыдущим годом, значительная часть которого связана с доступом, подобным внутреннему.

Новая стратегия называется восходящее проникновение.

Вместо того чтобы взламывать компанию, они просто подают заявку на работу. Оказавшись внутри, опытный агент может легко картировать внутреннюю сеть и выявить все горячие кошельки. Результатом становится не только потеря средств, но и полное подрыв логики протокола.

Этот сдвиг лучше всего иллюстрируется разрушительными атаками социальной инженерии и манипуляциями инфраструктурой, которые переопределили безопасность бирж и протоколов.

В феврале 2025 года группа Lazarus скомпрометировала среду разработки инфраструктуры, на которую полагалась Bybit. Они внедрили вредоносный код в интерфейс кошелька, заставив операторов слепо подписывать то, что выглядело как «рутинные переводы».

Это привело к рекордной потере $1,5 миллиарда, подчеркнув критическую уязвимость. Безопасность биржи настолько сильна, насколько честны люди, управляющие её процессом развертывания.

В апреле 2026 года Kelp децентрализованная автономная организация (DAO) пострадала от эксплойта на $292 миллиона, связанного с подгруппой TraderTraitor из Lazarus. Расследование показало, что злоумышленники успешно проникли в проект как участники.

Они отравили процесс проверки протокола и заставили его переключиться на вредоносную инфраструктуру.

Это яркое напоминание о том, что децентрализация не означает невозможность взлома, если основные участники скомпрометированы. Это служит трезвым уроком: протокол может быть настолько неизменным, насколько честен его кодер.

 

Анатомия ловушки

Проникновение начинается задолго до первого звонка в Zoom.

• Атакующие создают целые цифровые истории, чтобы предоставить доказательства работы, удовлетворяющие даже самых скептичных рекрутеров.

• Операторы часто используют фальшивые венчурные компании (VC) или агентства по найму, чтобы создать годовой след. Это могут быть технические блоги, рекомендации в LinkedIn и коммиты на GitHub.

Они не ограничиваются отправкой резюме. Вместо этого они представляют курированную, улучшенную ИИ цифровую жизнь, созданную так, чтобы выглядеть как высококлассный крипто-специалист.

В других случаях агент выдаёт себя за рекрутера из престижной биржи или VC-компании. Он обращается к текущим разработчикам проекта с предложениями работы, требующими выполнения технического задания. На деле это уловка, служащая механизмом доставки вредоносного ПО.

Так произошло в случае с Veltrix Capital, которая не была настоящей компанией по найму. Она была создана, чтобы заманить крипторазработчиков в фальшивый процесс подачи заявки и начать свой проект социальной инженерии.

 

Тесты на программирование как троянские кони

Этап технической оценки — это идеальная точка входа в безопасность кошельков криптопроекта. В стандартном процессе найма кандидат обычно отправляет репозиторий ведущему разработчику для проверки.

• Отравление зависимостей: Исследователи из ReversingLabs выявили вредоносные пакеты, такие как graphalgo (на PyPI) и bigmathutils (на npm), используемые специально в таких тестах.

• Полезная нагрузка: В момент, когда менеджер по найму или ведущий разработчик запускает npm install для проверки работы кандидата, выполняется скрипт post-install.

• Результат: Устанавливается удалённый троян (RAT), часто вариант BeaverTail, который сразу проверяет наличие расширения MetaMask и извлекает куки сессии.

Доставка вредоносного ПО завершена. Это даёт злоумышленнику доступ к внутренним средам Slack, GitHub и продакшену.

Определение тревожных сигналов во время звонков

Выявление северокорейских агентов требует смотреть дальше технических навыков и обращать внимание на несоответствия во время звонков в Zoom, например.

1. Будьте внимательны к постоянным техническим сбоям или оправданиям низкой пропускной способности, мешающим появлению на камере во время глубоких технических обсуждений.

2. Обращайте внимание на клонирование голоса в реальном времени с помощью ИИ или странные задержки в ответах. Это несоответствие личности и голоса возникает, когда один человек ведёт разговор, а другой подсказывает технические ответы.

3. Очевидное несоответствие уровня навыков, когда кандидат уровня Senior по Rust испытывает трудности с импровизационным объяснением примитивов DeFi. Если он может работать только при консультации с командой, вероятно, он не тот, за кого себя выдаёт.

4. Наконец, обратите внимание на статичные или размытые фильтры домашнего офиса, которые не совпадают с освещением или движениями кандидата. Эти визуальные несоответствия часто являются результатом использования программ для создания дипфейков в реальном времени.

 

Человеческая ошибка

Организации должны внедрить рамку найма с нулевым доверием, чтобы защитить свои средства от человеческой ошибки. Такая система должна включать строгую многоуровневую проверку до предоставления любых внутренних разрешений.

Процесс найма с нулевым доверием заменяет веру в кандидата на цикл проверки, усиленный мерами безопасности, где ни одно удостоверение не считается действительным, пока не будет подтверждено. Проекты нейтрализуют угрозу синтетических кандидатов, закрепляя личности и проверяя навыки в реальном времени.

В Web3 каждый найм — это инвестиция в хранение протокола и, как следствие, добавление нового подписанта в мультиподпись организации. С ростом сложности стратегий хакеров удалённые HR-отделы должны постоянно повышать осведомлённость о нарушениях безопасности и проводить тщательную проверку перед выпуском любых контрактов потенциальным сотрудникам.

Как внедрить найм с нулевым доверием

Социальная операционная безопасность (Social OpSec) — это защитная структура, предназначенная для очистки цифрового следа команды. Она гарантирует, что разрозненные публичные данные не могут быть использованы государственными злоумышленниками для организации сложной атаки.

Процесс найма протокола должен быть таким же безопасным, как его смарт-контракты, чтобы защитить активы участников. Для этого рекомендуется немедленно внедрить следующие шаги:

• Проверка личности в первую очередь: Используйте сервис проверки удостоверения личности в реальном времени (например, Jumio или Clear), чтобы подтвердить личность кандидата по его государственному документу. Это должно происходить во время первого видеозвонка.

• Изолированные технические тесты: Никогда не запускайте код кандидата на локальной машине. Используйте изолированные облачные среды, такие как Gitpod или Replit, для проверки и запуска кода. Это эквивалент использования «сжигаемого» кошелька для рискованных операций.

• Кодирование с включённой камерой: Замените тесты на дом заданиями в реальном времени с интерактивным кодированием или рисованием на доске. Это предотвращает передачу работы команде поддержки.

• Проверяйте зависимости: Перед просмотром любого внешнего репозитория сканируйте конфигурационные файлы (например, package.json) на наличие неизвестных или мало скачиваемых пакетов. Это могут быть опечатанные версии легитимных инструментов.

 

За пределами файрвола

Безопасность в 2026 году больше не является исключительно обязанностью технического директора (CTO); она начинается с отдела кадров.

Случаи с Kelp DAO и Bybit показывают, что даже самые надёжные технические системы могут быть разрушены одним скомпрометированным человеком. Модель найма с нулевым доверием помогает убедиться, что новые сотрудники пришли строить видение, а не разрушать его.

Относиться к каждому найму с той же тщательностью, что и к многомиллионным сделкам, — единственный способ обеспечить долгосрочное выживание протокола.

 

Как купить криптовалюту на Toobit

Чтобы купить криптовалюту на Toobit, создайте учётную запись, пройдите проверку и перейдите в раздел «Купить криптовалюту». Выберите токен, способ оплаты и подтвердите покупку. Ваши активы появятся в спотовом аккаунте после завершения транзакции.

Поздравляем, теперь вы знаете, как приобрести криптовалюту на Toobit!