Nordkoreanische Arbeiter haben seit 7 Jahren DeFi infiltriert: Forscher

Nordkoreanische IT-Arbeiter haben sich seit mindestens sieben Jahren in Krypto-Unternehmen und Projekte der dezentralen Finanzen eingebettet, so ein Cybersicherheitsanalyst.
„Viele IT-Arbeiter aus der DVRK haben die Protokolle entwickelt, die Sie kennen und lieben, schon seit dem DeFi-Sommer“, sagte der MetaMask-Entwickler und Sicherheitsforscher Taylor Monahan am Sonntag.
Monahan behauptete, dass über 40 DeFi-Plattformen, einige davon bekannte Namen, nordkoreanische IT-Arbeiter an ihren Protokollen beschäftigt hatten.
Die „sieben Jahre Erfahrung in der Blockchain-Entwicklung“ in ihrem Lebenslauf sind „keine Lüge“, fügte sie hinzu.
Die Lazarus Group ist ein mit Nordkorea verbundenes Hacker-Kollektiv, das seit 2017 schätzungsweise $7 Milliarden in Krypto gestohlen hat, laut Analysten des Creator-Netzwerks R3ACH.
Es wurde mit den bekanntesten Hacks der Branche in Verbindung gebracht, einschließlich des $625 Millionen Ronin Bridge Exploits im Jahr 2022, des $235 Millionen WazirX Hacks im Jahr 2024 und des $1,4 Milliarden Bybit Überfalls im Jahr 2025.
Monahans Kommentare kamen nur wenige Stunden, nachdem das Drift Protocol gesagt hatte, es habe „mittel-hohe Zuversicht“, dass der kürzliche $280 Millionen Exploit gegen es von einer mit dem nordkoreanischen Staat verbundenen Gruppe durchgeführt wurde.
DeFi-Manager äußern sich zu den Versuchen der DPRK, einzudringen
Tim Ahhl, Gründer der Titan Exchange, einem Solana-basierten DEX-Aggregator, sagte, dass sie in einem früheren Job „jemanden interviewt haben, der sich als Lazarus-Operative herausstellte.“
Ahhl sagte, der Kandidat „hatte Videoanrufe und war äußerst qualifiziert.“ Er lehnte ein persönliches Interview ab und sie entdeckten später seinen Namen in einem Lazarus „Info-Dump.“
Das US-Büro für ausländische Vermögenskontrolle hat eine Website, auf der Krypto-Unternehmen Gegenparteien gegen aktualisierte OFAC-Sanktionslisten überprüfen und auf Muster aufmerksam gemacht werden können, die mit Betrug von IT-Arbeitern übereinstimmen.
Angriffszeitachse der Lazarus Group. Quelle: R3ACH Network

Verwandt: Drift Protocol sagt, dass der $280M-Exploit „Monate gezielter Vorbereitung“ in Anspruch nahm
Drift Protocol, das von DPRK-Drittparteien vermittelt wurde
Der Nachbericht des Drift Protocol über den $280 Millionen Exploit der letzten Woche verwies ebenfalls auf mit Nordkorea verbundene Hacker für den Angriff.
Es wurde jedoch gesagt, dass die persönlichen Treffen, die schließlich zu dem Exploit führten, nicht mit nordkoreanischen Staatsangehörigen stattfanden, sondern vielmehr mit „Drittparteien“ mit „vollständig konstruierten Identitäten, einschließlich Beschäftigungshistorien, öffentlich zugänglichen Qualifikationen und beruflichen Netzwerken.“
„Jahre später scheint es, dass Lazarus jetzt Nicht-NK [Nordkoreaner] hat, die für sie arbeiten, um Menschen persönlich zu betrügen“, sagte Ahhl.
Bedrohungen über Vorstellungsgespräche sind nicht raffiniert
Die Lazarus Group ist der kollektive Name für „alle von der DPRK staatlich geförderten Cyberakteure“, erklärte Blockchain-Ermittler ZachXBT am Sonntag.
„Das Hauptproblem ist, dass alle sie zusammenfassen, obwohl die Komplexität der Bedrohungen unterschiedlich ist“, fügte er hinzu.
ZachXBT sagte, dass Bedrohungen über Stellenangebote, LinkedIn, E-Mail, Zoom oder Interviews „grundlegend und keineswegs raffiniert sind … das Einzige daran ist, dass sie unerbittlich sind.“
„Wenn Sie oder Ihr Team 2026 immer noch auf sie hereinfallen, sind Sie sehr wahrscheinlich nachlässig“, sagte er.
Es gibt zwei Arten von Angriffsvektoren, einer ist raffinierter als der andere. Quelle: ZachXBT
Magazin: Keine weiteren 85 % Bitcoin-Kollapse, Taiwan benötigt BTC-Kriegsreserve: Hodler’s Digest