rounded

Ditulis oleh: Sam Kessler, Coindesk

Disusun oleh: Joy, PANews

 

Poin utama artikel:

 

  • CoinDesk menemukan bahwa lebih dari selusin perusahaan cryptocurrency tanpa sadar mempekerjakan pekerja IT dari Korea Utara, termasuk proyek blockchain terkenal seperti Injective, ZeroLend, Fantom, Sushi, Yearn Finance, dan Cosmos Hub.

  • Para karyawan ini menggunakan identitas palsu, berhasil lulus wawancara, lulus pemeriksaan kualifikasi, dan memberikan pengalaman kerja asli.

  • Mempekerjakan pekerja Korea Utara adalah tindakan ilegal di Amerika Serikat dan negara-negara lain yang menerapkan sanksi terhadap Korea Utara. Hal ini juga menimbulkan risiko keamanan, dengan CoinDesk menemukan bahwa beberapa perusahaan telah diretas setelah mempekerjakan pekerja IT Korea Utara.

  • Zaki Manian, seorang pengembang blockchain terkenal, mengatakan: "Semua orang mencoba menyaring orang-orang ini." Dia mengatakan bahwa dia secara tidak sengaja mempekerjakan dua pekerja IT Korea Utara pada tahun 2021 untuk membantu mengembangkan blockchain Cosmos Hub.

 

Perusahaan Cryptocurrency Truflasi masih dalam masa pertumbuhan pada tahun 2023 ketika pendiri Stefan Rust tanpa sadar mempekerjakan karyawan pertamanya di Korea Utara.

 

“Kami selalu mencari pengembang hebat,” kata Rust dari rumahnya di Swiss. Tiba-tiba, "pengembang ini menemui kami."

 

"Ryuhei" mengirimkan resumenya melalui Telegram, mengaku bekerja di Jepang. Segera setelah dia dipekerjakan, kontradiksi yang aneh mulai muncul.

 

Pada satu titik, "Saya sedang berbicara dengan pria itu di telepon dan dia mengatakan dia mengalami gempa bumi," kenang Rust. Namun belum ada gempa bumi baru-baru ini di Jepang. Karyawan tersebut kemudian mulai kehilangan panggilan, dan ketika dia muncul, “bukan dia,” kata Rust. "Itu orang lain." Siapa pun orangnya, aksen Jepangnya sudah hilang.

 

Rust segera mengetahui bahwa "Ryuhei" dan empat karyawan lainnya (lebih dari sepertiga timnya) adalah orang Korea Utara. Tanpa disadari Rust terlibat dalam konspirasi terorganisir oleh Korea Utara untuk memberikan karyawannya pekerjaan jarak jauh di luar negeri dan mengirimkan pendapatannya kembali ke Pyongyang.

 

Pihak berwenang AS baru-baru ini meningkatkan peringatan bahwa pekerja TI Korea Utara menyusup ke perusahaan-perusahaan teknologi, termasuk perusahaan mata uang kripto, dan menggunakan hasilnya untuk mendanai program senjata nuklir negara tersebut. Menurut laporan Perserikatan Bangsa-Bangsa pada tahun 2024, para pekerja TI ini menghasilkan pendapatan hingga $600 juta per tahun bagi Korea Utara.

 

Mempekerjakan dan membayar pekerja – bahkan secara tidak sengaja – melanggar sanksi PBB dan merupakan tindakan ilegal di Amerika Serikat dan banyak negara lainnya. Hal ini juga menimbulkan risiko keamanan yang serius, karena peretas Korea Utara diketahui mempekerjakan karyawan secara diam-diam untuk menyerang perusahaan.

 

Investigasi CoinDesk mengungkapkan motivasi dan frekuensi pencari kerja Korea Utara menargetkan perusahaan cryptocurrency—berhasil dalam wawancara, lulus pemeriksaan latar belakang, dan bahkan menunjukkan sejarah kontribusi kode yang mengesankan pada repositori perangkat lunak sumber terbuka GitHub.

 

CoinDesk berbicara dengan lebih dari selusin perusahaan cryptocurrency yang mengatakan mereka secara tidak sengaja mempekerjakan pekerja IT dari Korea Utara.

 

Wawancara dengan para pendiri, peneliti blockchain, dan pakar industri menunjukkan bahwa pekerja TI Korea Utara jauh lebih umum di industri kripto daripada yang diperkirakan sebelumnya. Hampir setiap manajer perekrutan yang diwawancarai untuk artikel ini mengakui bahwa mereka telah mewawancarai orang-orang yang dicurigai sebagai pengembang Korea Utara, mempekerjakan mereka tanpa sepengetahuan mereka, atau mengenal seseorang yang telah melakukannya.

 

Zaki Manian, seorang pengembang blockchain terkenal, berkata: "Di seluruh industri enkripsi, proporsi resume, pelamar kerja, atau kontributor dari Korea Utara mungkin melebihi 50%." Dia mengatakan bahwa dia secara tidak sengaja mempekerjakan dua personel TI Korea Utara pada tahun 2021 karyawan untuk membantu mengembangkan blockchain Cosmos Hub. "Semua orang berusaha menyingkirkan orang-orang ini."

 

Di antara perusahaan Korea Utara yang tanpa disadari diidentifikasi oleh CoinDesk adalah beberapa proyek blockchain terkenal seperti Cosmos Hub, Injective, ZeroLend, Fantom, Sushi, dan Yearn Finance. “Itu semua terjadi di balik layar,” kata Manian.

 

Investigasi ini adalah pertama kalinya perusahaan-perusahaan tersebut secara terbuka mengakui bahwa mereka secara tidak sengaja mempekerjakan pekerja TI asal Korea Utara.

 

Dalam banyak kasus, pekerja di Korea Utara bekerja seperti pekerja biasa, jadi, dalam arti tertentu, pemberi kerja pada dasarnya mendapatkan apa yang mereka bayarkan untuk bekerja; Namun CoinDesk menemukan bukti bahwa para karyawan tersebut kemudian mentransfer gaji mereka ke alamat blockchain yang terhubung dengan pemerintah Korea Utara.

 

Investigasi CoinDesk juga mengungkapkan beberapa kasus di mana proyek kripto yang mempekerjakan staf TI Korea Utara kemudian diretas. Dalam beberapa kasus, pencurian tersebut dapat dikaitkan secara langsung dengan tersangka karyawan TI Korea Utara yang termasuk dalam daftar gaji perusahaan. Hal ini terjadi pada Sushi, protokol DeFi terkenal yang kehilangan $3 juta karena peretasan pada tahun 2021.

 

Kantor Pengendalian Aset Luar Negeri (OFAC) Departemen Keuangan AS dan Departemen Kehakiman mulai mempublikasikan upaya Korea Utara untuk menyusup ke industri mata uang kripto AS pada tahun 2022. CoinDesk menemukan bukti bahwa pekerja TI Korea Utara mulai bekerja untuk perusahaan mata uang kripto dengan identitas palsu jauh sebelum itu, setidaknya pada awal tahun 2018.

 

“Saya pikir banyak orang yang salah paham bahwa ini adalah sesuatu yang terjadi begitu saja,” kata Manian. “Orang-orang ini memiliki akun GitHub dan hal-hal lain sejak tahun 2016, 2017, 2018.” (GitHub, milik Microsoft, adalah platform online yang digunakan oleh banyak organisasi perangkat lunak untuk menghosting kode dan memungkinkan pengembang berkolaborasi.)

 

CoinDesk menggunakan berbagai metode untuk menghubungkan pekerja IT Korea Utara dengan perusahaan, termasuk catatan pembayaran blockchain, kontribusi kode GitHub publik, email dari pejabat pemerintah AS, dan wawancara langsung dengan perusahaan yang ditargetkan. Salah satu jaringan pembayaran terbesar di Korea Utara yang diselidiki oleh CoinDesk ditemukan oleh penyelidik blockchain ZachXBT, yang menerbitkan daftar tersangka pengembang Korea Utara pada bulan Agustus.

 

Sebelumnya, pengusaha tetap bungkam karena takut akan publisitas yang tidak diinginkan atau dampak hukum. Kini, dihadapkan dengan segudang catatan pembayaran dan bukti lain yang ditemukan oleh CoinDesk, banyak dari mereka memutuskan untuk maju dan berbagi cerita untuk pertama kalinya, mengungkap keberhasilan luar biasa dan skala infiltrasi Korea Utara terhadap industri mata uang kripto.

 

dokumen palsu

 

Truflasi Rust telah dibanjiri lamaran baru setelah mempekerjakan Ryuhei, yang seolah-olah adalah karyawan Jepang. Hanya dalam beberapa bulan, Rust tanpa sadar mempekerjakan empat pengembang Korea Utara lagi, yang mengaku berbasis di Montreal, Vancouver, Houston, dan Singapura.

 

Industri kripto sangat rentan terhadap gangguan yang dilakukan oleh pekerja IT Korea Utara. Tenaga kerja di industri kripto sangat global, dan perusahaan kripto cenderung lebih bersedia mempekerjakan pengembang jarak jauh (atau bahkan anonim) dibandingkan perusahaan lain.

 

CoinDesk mengamati lamaran kerja di Korea Utara yang diterima oleh perusahaan mata uang kripto dari berbagai sumber, termasuk platform perpesanan seperti Telegram dan Discord, papan pekerjaan khusus mata uang kripto seperti Crypto Jobs List, dan papan pekerjaan seperti Indeed.

 

“Tempat-tempat yang paling mungkin mereka pekerjakan adalah tim-tim baru dan pendatang baru yang bersedia merekrut dari Discord,” kata Taylor Monahan, manajer produk di aplikasi dompet kripto MetaMask, yang sering menerbitkan penelitian keamanan terkait dengan North Aktivitas kripto Korea. “Mereka tidak memiliki proses untuk mempekerjakan orang yang melalui pemeriksaan latar belakang. Seringkali mereka bersedia membayar dalam mata uang kripto.”

 

Rust mengatakan dia melakukan pemeriksaan latar belakang terhadap semua karyawan baru Truflasi. "Mereka mengirimi kami paspor dan kartu identitas kami, memberi kami repositori GitHub, mengujinya, dan pada dasarnya kami mempekerjakan mereka."

 

万字调查:朝鲜如何渗透加密货币行业

 

Pemohon yang menyerahkan SIM Texas sebagai bukti identitas kepada perusahaan cryptocurrency Truflasi kini dicurigai sebagai warga negara Korea Utara. CoinDesk menyembunyikan beberapa rincian karena pekerja IT Korea Utara menggunakan ID curian. (Gambar milik Stefan Rust)

 

Bagi orang awam, sebagian besar dokumen palsu tidak dapat dibedakan dari paspor dan visa asli, namun para ahli mengatakan kepada CoinDesk bahwa layanan pemeriksaan latar belakang profesional kemungkinan besar akan menangkapnya.

 

万字调查:朝鲜如何渗透加密货币行业

Salah satu tersangka karyawan TI Korea Utara yang diidentifikasi oleh ZachXBT, "Naoki Murano," memberikan perusahaan tersebut paspor Jepang yang tampaknya asli. (Foto milik Taylor Monahan)

 

Meskipun startup tidak mungkin menggunakan pemeriksa latar belakang profesional, “kami melihat personel IT Korea Utara bekerja di perusahaan besar, baik sebagai karyawan sebenarnya atau setidaknya kontraktor,” kata Monahan.

 

Tersembunyi di depan mata

 

Dalam sejumlah kasus, CoinDesk menemukan pekerja IT di perusahaan Korea Utara menggunakan data blockchain yang tersedia untuk umum.

 

Pada tahun 2021, perusahaan pengembang blockchain Manian, Iqlusion, membutuhkan bantuan. Dia mencari programmer lepas yang mungkin bisa membantu proyek untuk meningkatkan blockchain Cosmos Hub yang populer. Dia menemukan dua karyawan baru; mereka berkinerja baik.

 

Manian belum pernah bertemu langsung dengan freelancer "Jun Kai" dan "Sarawut Sanit". Mereka sebelumnya berkolaborasi dalam proyek perangkat lunak sumber terbuka yang didanai oleh jaringan blockchain yang terkait erat, THORChain, dan mereka memberi tahu Manian bahwa mereka berada di Singapura.

 

“Saya telah berbicara dengan mereka hampir setiap hari selama setahun,” kata Manian. “Mereka menyelesaikan pekerjaannya. Sejujurnya, saya sangat puas.”

 

Dua tahun setelah para pekerja lepas menyelesaikan pekerjaan mereka, Manian menerima email dari agen FBI yang sedang menyelidiki transfer token yang tampaknya berasal dari Iqlusion dan dikirim ke alamat dompet kripto Korea Utara yang diduga. Transfer yang dimaksud ternyata merupakan pembayaran dari Iqlusion kepada Kai dan Sanit.

 

万字调查:朝鲜如何渗透加密货币行业

Kiri: Seorang agen FBI (nama disunting) menanyakan informasi kepada Zaki Manian tentang dua pembayaran blockchain dari perusahaannya, Iqlusion. Kanan: Manian memberi tahu agen bahwa transaksi tersebut terjadi antara Iqlusion dan beberapa kontraktor.

 

FBI tidak pernah mengonfirmasi kepada Manian bahwa pengembang yang dikontraknya adalah agen Korea Utara, tetapi tinjauan CoinDesk terhadap alamat blockchain Kai dan Sanit mengungkapkan bahwa selama tahun 2021 dan 2022, mereka mentransfer pendapatan ke dua individu dalam daftar sanksi OFAC: Kim Sang Man dan Sim Hyon Sop.

 

Menurut OFAC, Sim adalah perwakilan dari Kwangson Bank Korea Utara, yang mencuci dana pekerja TI untuk membantu "mendanai program senjata pemusnah massal dan rudal balistik Korea Utara." Sarawut tampaknya telah menyalurkan seluruh pendapatannya ke Sim dan dompet blockchain terkait Sim lainnya.

 

万字调查:朝鲜如何渗透加密货币行业

 

Catatan Blockchain dari April hingga Desember 2022 menunjukkan bahwa “Sarawut Sanit” mengirimkan semua gajinya ke dompet yang terkait dengan agen Korea Utara yang disetujui OFAC, Sim Hyon Sop. (Pilihan dompet Ethereum dilacak oleh CoinDesk. Harga aset diperkirakan oleh Arkham.)

 

Pada saat yang sama, Kai mengirimkan hampir $8 juta langsung ke Kim. Menurut laporan penasihat OFAC tahun 2023, Kim adalah perwakilan dari Perusahaan Kerja Sama Teknologi Informasi Chinyong yang dioperasikan Korea Utara, yang "mempekerjakan delegasi pekerja TI Korea Utara yang bekerja di Rusia dan Laos melalui perusahaan yang dikendalikannya dan perwakilannya."

 

万字调查:朝鲜如何渗透加密货币行业

 

Sepanjang tahun 2021, “Jun Kai” mengirimkan cryptocurrency senilai $7.7 juta langsung ke alamat blockchain di daftar sanksi OFAC yang terkait dengan Kim Sang Man. (Pilihan dompet Ethereum dilacak oleh CoinDesk. Harga aset diperkirakan oleh Arkham.)

 

Gaji Iqlusion kepada Kai mewakili kurang dari $50,000 dari hampir $8 juta yang dia berikan kepada Kim, dan sisanya sebagian berasal dari perusahaan cryptocurrency lainnya.

 

Misalnya, CoinDesk menemukan bahwa Fantom Foundation, yang mengembangkan blockchain Fantom yang banyak digunakan, membayar “Jun Kai” dan pengembang lain yang memiliki hubungan dengan Korea Utara.

 

Seorang juru bicara Fantom Foundation mengatakan kepada CoinDesk: “Fantom mengonfirmasi bahwa dua orang luar terlibat dengan Korea Utara pada tahun 2021. Namun, pengembang yang terlibat terlibat dalam proyek eksternal yang tidak pernah selesai dan tidak pernah diterapkan.”

 

Menurut Fantom Foundation, "Dua karyawan yang terlibat telah dipecat. Mereka tidak pernah menyumbangkan kode berbahaya atau mengakses basis kode Fantom, dan pengguna Fantom tidak terpengaruh." Seorang juru bicara mengatakan bahwa seorang karyawan Korea Utara berusaha menyerang server Fantom tetapi gagal karena kurangnya hak akses yang diperlukan.

 

Menurut database OpenSanctions, alamat blockchain Kim yang terkait dengan Korea Utara tidak dirilis oleh pemerintah hingga Mei 2023, lebih dari dua tahun setelah pembayaran Iqlusion dan Fantom.

 

memberi ruang untuk bermanuver

 

Amerika Serikat dan PBB menjatuhkan sanksi terhadap mempekerjakan pekerja TI Korea Utara masing-masing pada tahun 2016 dan 2017.

 

Disadari atau tidak, membayar upah kepada pekerja Korea Utara di Amerika Serikat adalah tindakan ilegal – sebuah konsep hukum yang dikenal sebagai “pertanggungjawaban ketat”.

 

Lokasi perusahaan juga tidak menjadi masalah: Mempekerjakan pekerja Korea Utara membawa risiko hukum bagi perusahaan mana pun yang menjalankan bisnis di negara yang menerapkan sanksi terhadap Korea Utara.

 

Namun, Amerika Serikat dan negara-negara anggota PBB lainnya belum mengadili perusahaan kripto yang mempekerjakan pekerja IT Korea Utara.

 

Departemen Keuangan AS meluncurkan penyelidikan terhadap Iqlusion yang berbasis di AS, namun Manian mengatakan penyelidikan tersebut berakhir tanpa hukuman apa pun.

 

Pihak berwenang AS bersikap lunak dalam mengajukan tuntutan terhadap perusahaan-perusahaan ini—semacam pengakuan bahwa, paling-paling, mereka adalah korban dari bentuk penipuan identitas yang luar biasa canggih dan canggih, atau, paling buruk, penipuan jangka panjang yang paling memalukan.

 

Selain risiko hukum, Monahan dari MetaMask menjelaskan bahwa membayar pekerja IT Korea Utara juga “buruk karena orang-orang yang Anda bayar pada dasarnya adalah mereka yang dieksploitasi oleh rezim.”

 

Pekerja TI Korea Utara hanya akan dapat menerima sebagian kecil dari gaji mereka, menurut laporan Dewan Keamanan PBB setebal 615 halaman. Laporan tersebut menyatakan bahwa “masyarakat berpendapatan rendah dapat mencadangkan 10%, sedangkan masyarakat berpendapatan tinggi dapat mempertahankan 30%.”

 

Meskipun upah mereka mungkin masih tinggi jika dibandingkan dengan rata-rata gaji di Korea Utara, “Saya tidak peduli di mana mereka tinggal,” kata Monahan. "Jika saya membayar seseorang dan mereka dipaksa untuk mengirimkan seluruh gaji mereka kepada bos mereka, itu akan membuat saya sangat tidak nyaman. Jika bos mereka adalah rezim Korea Utara, saya akan merasa lebih tidak nyaman."

 

CoinDesk menghubungi beberapa tersangka pekerja IT Korea Utara selama proses pelaporan tetapi belum menerima tanggapan.

 

masa depan

 

CoinDesk mengidentifikasi lebih dari 20 perusahaan yang mungkin mempekerjakan pekerja IT Korea Utara dengan menganalisis catatan pembayaran blockchain dari entitas yang terkena sanksi OFAC. Dua belas perusahaan yang menyerahkan catatan yang relevan mengonfirmasi ke CoinDesk bahwa mereka sebelumnya telah menemukan tersangka karyawan IT Korea Utara dalam daftar gaji mereka.

 

Beberapa dari mereka menolak memberikan komentar lebih lanjut karena takut akan dampak hukum, namun yang lain setuju untuk berbagi cerita dengan harapan orang lain dapat belajar dari pengalaman mereka.

 

Dalam banyak kasus, karyawan Korea Utara lebih mudah diidentifikasi setelah mereka dipekerjakan.

 

Eric Chen, CEO Injective, sebuah proyek yang berfokus pada keuangan terdesentralisasi, mengatakan dia menandatangani pengembang lepas pada tahun 2020 tetapi dengan cepat memecatnya karena kinerja yang buruk.

 

"Dia tidak bertahan lama," kata Chen. “Kode yang dia tulis sangat buruk dan hasilnya tidak bagus.” Chen tidak mengetahui bahwa karyawan tersebut memiliki hubungan dengan Korea Utara sampai tahun lalu, ketika sebuah “lembaga pemerintah” AS menghubungi Injective.

 

Beberapa perusahaan mengatakan kepada CoinDesk bahwa mereka memecat seorang karyawan sebelum mereka mengetahui adanya hubungan dengan Korea Utara – dengan alasan kualitas kerja di bawah standar.

 

"Potongan gaji beberapa bulan"

 

Namun, pekerja TI Korea Utara serupa dengan pengembang pada umumnya dan memiliki kemampuan yang berbeda-beda.

 

Di satu sisi, Anda memiliki karyawan yang “datang ke perusahaan, menjalani proses wawancara, dan mendapat gaji beberapa bulan,” kata Manian. “Dan di sisi lain, saat Anda mewawancarai orang-orang ini, Anda mengetahui apa mereka sebenarnya. Kemampuan teknisnya sangat kuat.”

 

Rust ingat bertemu dengan "pengembang yang sangat baik" saat berada di Truflation yang mengaku berasal dari Vancouver, namun kemudian mengetahui bahwa dia berasal dari Korea Utara. "Dia benar-benar seorang pemuda," kata Rust. “Rasanya dia baru saja lulus kuliah. Sedikit hijau, sangat antusias, sangat bersemangat dengan kesempatan bekerja.”

 

Dalam contoh lain, startup DeFi Cluster memecat dua pengembang pada bulan Agustus setelah ZachXBT memberikan bukti bahwa mereka memiliki hubungan dengan Korea Utara.

 

“Sungguh menakjubkan betapa banyak yang diketahui orang-orang ini,” z3n, pendiri Cluster yang tidak disebutkan namanya, mengatakan kepada CoinDesk. Misalnya, "Mereka mengubah alamat pembayaran setiap dua minggu, nama Discord, atau nama Telegram mereka setiap bulan atau lebih."

 

kamera web mati

 

Dalam percakapan dengan CoinDesk, banyak perusahaan mengatakan mereka melihat sesuatu yang tidak biasa dan lebih masuk akal ketika mereka mengetahui bahwa karyawan mereka mungkin orang Korea Utara.

 

Terkadang isyarat ini tidak kentara, seperti ketika jam kerja seorang karyawan tidak sesuai dengan tempat mereka seharusnya bekerja.

 

Pengusaha lain, seperti Truflasi, telah memperhatikan bahwa banyak orang mungkin berpura-pura menjadi satu orang, yang disembunyikan oleh karyawan dengan mematikan webcam mereka. (Mereka hampir semuanya laki-laki).

 

Sebuah perusahaan mempekerjakan seorang karyawan yang menghadiri rapat di pagi hari tetapi sepertinya melupakan semua hal yang dibicarakan di kemudian hari, sebuah keunikan yang lebih masuk akal ketika dia telah berbicara dengan jelas kepada banyak orang sebelumnya.

 

Ketika Rust mengungkapkan keprihatinannya tentang karyawan "Jepang" Ryuhei kepada seorang investor yang berpengalaman melacak jaringan pembayaran kriminal, investor tersebut dengan cepat mengidentifikasi empat tersangka pekerja IT Korea Utara lainnya yang termasuk dalam daftar gaji Truflasi.

 

“Kami segera memutuskan hubungan,” kata Rust, seraya menambahkan bahwa timnya melakukan audit keamanan terhadap kodenya, meningkatkan proses pemeriksaan latar belakangnya, dan mengubah beberapa kebijakan. Salah satu kebijakan baru tersebut adalah mewajibkan pekerja jarak jauh untuk menyalakan kamera mereka.

 

peretasan $3 juta

 

Banyak perusahaan yang dikonsultasikan oleh CoinDesk secara keliru percaya bahwa pekerja TI Korea Utara beroperasi secara independen dari sektor peretasan Korea Utara, namun data blockchain dan percakapan dengan para ahli menunjukkan bahwa aktivitas peretasan Korea Utara dan pekerja TI sering kali saling terkait.

 

Pada bulan September 2021, MISO, sebuah platform yang dibangun oleh Sushi untuk menerbitkan token kripto, kehilangan $3 juta karena pencurian. CoinDesk menemukan bukti bahwa serangan itu terkait dengan perekrutan dua pengembang oleh Sushi yang catatan pembayaran blockchainnya terkait dengan Korea Utara.

 

Pada saat peretasan terjadi, Sushi adalah salah satu platform yang paling banyak dibicarakan di ruang DeFi yang sedang berkembang. Lebih dari $5 miliar telah disimpan di SushiSwap, sebuah platform yang terutama berfungsi sebagai “pertukaran terdesentralisasi” bagi orang-orang untuk memperdagangkan mata uang kripto tanpa perantara.

 

Joseph Delong, chief technology officer Sushi pada saat itu, menelusuri pencurian MISO ke dua pengembang lepas yang bekerja di platform tersebut: mereka menggunakan nama Anthony Keller dan Sava Grujic. Delong mengatakan para pengembang ini, yang kini dia curigai adalah orang atau organisasi yang sama, menyuntikkan kode berbahaya ke dalam platform MISO untuk mentransfer dana ke dompet yang mereka kendalikan.

 

Ketika Keller dan Grujic dipekerjakan oleh Sushi DAO, organisasi otonom terdesentralisasi yang mengatur protokol Sushi, mereka menunjukkan kredensial yang khas dan bahkan mengesankan bagi pengembang tingkat pemula.

 

Keller menggunakan nama samaran "eratos1122" di depan umum, tetapi ketika dia melamar pekerjaan di MISO, dia menggunakan nama aslinya, "Anthony Keller." Dalam resume yang dibagikan Delong kepada CoinDesk, Keller mengaku tinggal di Gainesville, Georgia, dan lulus dari University of Phoenix dengan gelar sarjana teknik komputer. (Universitas tidak menanggapi permintaan untuk mengetahui apakah ada lulusan dengan nama yang sama.)

 

万字调查:朝鲜如何渗透加密货币行业

"Anthony Keller" mengaku tinggal di Gainesville, Georgia, dan resumenya mencantumkan pengalaman kerjanya di aplikasi keuangan terdesentralisasi yang populer, Yearn.

 

Resume Keller menyebutkan pekerjaan sebelumnya. Salah satu yang paling mengesankan adalah Yearn Finance, protokol investasi kripto yang sangat populer yang menawarkan kepada pengguna cara untuk mendapatkan bunga melalui berbagai strategi investasi. Banteg, pengembang inti di Yearn, mengonfirmasi bahwa Keller sedang mengerjakan Coordinape, sebuah aplikasi yang dikembangkan oleh Yearn untuk membantu tim berkolaborasi dan memfasilitasi pembayaran. (Banteg, mengatakan pekerjaan Keller terbatas pada Coordinape dan dia tidak memiliki akses ke basis kode inti Yearn.)

 

Menurut Delong, Keller memperkenalkan Grujic ke MISO, dan keduanya menyebut diri mereka "teman". Seperti Keller, Grujic memberikan resume yang mencantumkan nama aslinya, bukan nama samaran online "AristoK3". Ia mengaku berasal dari Serbia dan lulus dari Universitas Beograd dengan gelar sarjana ilmu komputer. Akun GitHub-nya aktif, dan resume-nya mencantumkan pengalaman kerjanya di beberapa proyek kripto kecil dan startup game.

 

万字调查:朝鲜如何渗透加密货币行业

Dalam resumenya, "Sava Grujic" mencantumkan 5 tahun pengalaman pemrograman dan mengklaim bahwa dia berbasis di Beograd, Serbia.

 

Rachel Chu, mantan pengembang inti di Sushi yang bekerja sama dengan Keller dan Grujic sebelum pencurian, mengatakan dia menjadi "curiga" terhadap pasangan tersebut sebelum peretasan.

 

Meski berjauhan, Grujic dan Keller memiliki "aksen yang sama" dan "cara berkirim pesan yang sama," kata Chu. “Setiap kali kami berbicara, ada suara bising di latar belakang, seperti di pabrik,” tambahnya. Chu ingat bahwa dia pernah melihat wajah Keller, tetapi tidak pernah melihat wajah Grujic. Menurut Chu, kamera Keller "memperbesar" sehingga dia tidak bisa melihat apa yang ada di belakangnya.

 

Grujic dan Keller akhirnya berhenti berkontribusi pada MISO pada saat yang bersamaan. “Kami mengira mereka adalah orang yang sama,” kata Delong, “jadi kami berhenti membayar mereka.” Pada puncak pandemi COVID-19, pengembang mata uang kripto jarak jauh berpura-pura menjadi banyak orang untuk mendapatkan uang tambahan dari gaji mereka. luar biasa.

 

Setelah Grujic dan Keller dipecat pada musim panas 2021, tim Sushi lalai mencabut akses mereka ke basis kode MISO.

 

Menurut tangkapan layar yang diperoleh CoinDesk, pada tanggal 2 September, Grujic, yang menggunakan nama layar "Aristok3", mengirimkan kode berbahaya ke platform MISO untuk mentransfer $3 juta ke dompet mata uang kripto baru.

 

万字调查:朝鲜如何渗透加密货币行业

"Sava Grujic" mengirimkan kode tercemar ke MISO Sushi dengan nama samaran AristoK3. (Tangkapan layar disediakan oleh Joseph Delong)

 

Analisis CoinDesk terhadap catatan pembayaran blockchain menunjukkan kemungkinan adanya hubungan antara Grujic, Keller dan Korea Utara. Pada bulan Maret 2021, Keller memposting alamat blockchain di tweet yang sekarang sudah dihapus. CoinDesk menemukan beberapa pembayaran antara alamat itu, alamat peretas Grujic, dan alamat Keller yang tercatat di Sushi. Menurut Delong, penyelidikan internal Sushi akhirnya menyimpulkan bahwa alamat tersebut milik Keller.

 

万字调查:朝鲜如何渗透加密货币行业

 

Antara tahun 2021 dan 2022, alamat blockchain yang terkait dengan Keller dan Grujic mengirimkan sebagian besar dana ke dompet yang terhubung ke Korea Utara. (Pilihan dompet Ethereum dilacak oleh CoinDesk. Harga aset diperkirakan oleh Arkham.)

 

CoinDesk menemukan bahwa alamat ini mengirimkan sebagian besar dana ke "Jun Kai" (pengembang Iqlusion yang mengirim uang ke Kim Sang Man yang disetujui OFAC) dan dompet lain yang tampaknya bertindak sebagai proxy untuk Korea Utara (karena juga membayar Kim ).

 

Investigasi internal Sushi menemukan bahwa Keller dan Grujic sering beroperasi dari alamat IP Rusia, sehingga semakin mendukung gagasan bahwa mereka adalah warga Korea Utara. Pekerja TI Korea Utara terkadang berbasis di Rusia, kata OFAC. (Nomor telepon AS di resume Keller telah dinonaktifkan, dan akun Github dan Twitter “eratos1122” miliknya telah dihapus.)

 

Selain itu, CoinDesk menemukan bukti bahwa Sushi mempekerjakan Keller dan Grujic pada saat yang sama dengan tersangka kontraktor IT Korea Utara lainnya. Pengembang, yang oleh ZachXBT disebut "Gary Lee", mengkodekan dengan nama samaran LightFury dan mengirimkan penghasilan ke "Jun Kai" dan alamat proxy lain yang terkait dengan Kim.

 

万字调查:朝鲜如何渗透加密货币行业

 

Dari tahun 2021 hingga 2022, Sushi juga menyewa kontraktor Korea Utara lainnya bernama "Gary Lee." Pekerja tersebut mentransfer penghasilannya pada tahun 2021-2022 ke alamat blockchain terkait Korea Utara, termasuk dompet yang digunakan oleh “Jun Kai” milik Iqlusion. (Pilihan dompet Ethereum dilacak oleh CoinDesk. Harga aset diperkirakan oleh Arkham.)

 

Setelah Sushi secara terbuka menyalahkan serangan tersebut pada nama samaran Keller "eratos1122" dan mengancam akan melibatkan FBI, Grujic mengembalikan dana yang dicuri. Meskipun mungkin tampak berlawanan dengan intuisi bahwa para pekerja IT di Korea Utara khawatir akan perlindungan identitas palsu, para pekerja IT di Korea Utara tampaknya menggunakan kembali nama-nama tertentu dan membangun reputasi mereka dengan berkontribusi pada banyak proyek, mungkin untuk mendapatkan kepercayaan dari pemberi kerja di masa depan.

 

Orang mungkin berpikir bahwa melindungi alias Anthony Keller akan lebih menguntungkan dalam jangka panjang: Pada tahun 2023, dua tahun setelah insiden Sushi, seorang pria bernama "Anthony Keller" mengajukan permohonan ke perusahaan Stefan Rust, Truflation.

 

Coindesk mencoba menghubungi “Anthony Keller” dan “Sava Grujic” untuk memberikan komentar, tetapi tidak berhasil.

 

Perampokan gaya Korea Utara

 

Korea Utara telah mencuri lebih dari $3 miliar mata uang kripto melalui serangan peretasan selama tujuh tahun terakhir, menurut PBB. Dari serangan peretasan yang dilacak oleh perusahaan analisis blockchain Chainalysis pada paruh pertama tahun 2023, 15 di antaranya terkait dengan Korea Utara, “sekitar setengahnya melibatkan pencurian yang terkait dengan pekerja TI,” kata juru bicara perusahaan Madeleine Kennedy.

 

Serangan siber di Korea Utara tidak seperti peretasan versi Hollywood, di mana pemrogram menggunakan kode komputer rumit dan terminal komputer hitam-hijau untuk meretas mainframe.

 

Serangan gaya Korea Utara jelas berteknologi rendah. Mereka biasanya melibatkan beberapa bentuk rekayasa sosial, di mana penyerang mendapatkan kepercayaan dari korban yang memegang kunci sistem dan kemudian langsung mengekstrak kunci tersebut melalui sesuatu yang sederhana seperti tautan email berbahaya.

 

“Sejauh ini, kita belum pernah melihat Korea Utara melakukan serangan nyata,” kata Monahan. “Mereka selalu memulai dengan serangan rekayasa sosial, kemudian membobol perangkat, dan kemudian mencuri kunci pribadi.”

 

Pekerja TI sangat cocok untuk berkontribusi dalam operasi pencurian di Korea Utara, baik dengan memperoleh informasi pribadi yang dapat digunakan untuk menyabotase target potensial atau dengan mengakses langsung sistem perangkat lunak yang penuh dengan uang digital.

 

serangkaian kebetulan

 

Pada tanggal 25 September, saat artikel ini akan diterbitkan, CoinDesk mengatur panggilan video dengan Truflation's Rust. Rencananya adalah untuk memverifikasi beberapa detail yang dia bagikan sebelumnya.

 

Rust yang kebingungan bergabung dengan panggilan itu terlambat 15 menit. Dia baru saja diretas.

 

CoinDesk menghubungi lebih dari 20 proyek yang tampaknya telah ditipu untuk mempekerjakan pekerja IT Korea Utara. Dalam wawancara dua minggu terakhir saja, dua proyek telah diretas: Truflasi dan aplikasi pinjaman mata uang kripto bernama Delta Prime.

 

Masih terlalu dini untuk mengatakan apakah kedua insiden peretasan tersebut terkait langsung dengan perekrutan karyawan IT Korea Utara secara tidak sengaja.

 

Pada 16 September, Delta Prime pertama kali disusupi. CoinDesk sebelumnya menemukan pembayaran dan kontribusi kode antara Delta Prime dan Naoki Murano, salah satu pengembang terkait Korea Utara yang dipromosikan oleh detektif blockchain anonim ZachXBT.

 

Proyek ini mengalami kerugian lebih dari $7 juta, dan penjelasan resminya adalah "kunci pribadinya bocor". Delta Prime tidak menanggapi beberapa permintaan komentar.

 

Peretasan Truflasi terjadi kurang dari dua minggu kemudian. Sekitar dua jam sebelum berbicara dengan CoinDesk, Rust melihat arus keluar dana dari dompet kripto miliknya. Dia baru saja kembali dari perjalanan bisnis ke Singapura dan mencoba mencari tahu kesalahan apa yang telah dilakukannya. "Saya hanya tidak tahu bagaimana hal itu terjadi," katanya. "Saya menyimpan laptop saya terkunci di dinding hotel dengan aman. Saya selalu membawa ponsel."

 

Saat Rust berbicara, jutaan dolar mengalir keluar dari dompet blockchain pribadinya. “Maksudku, ini sungguh buruk. Uang ini untuk biaya sekolah dan pensiun anak-anakku.”

 

Truflasi dan Rust akhirnya kehilangan sekitar $5 juta. Para pejabat menetapkan bahwa penyebab kerugian adalah pencurian kunci pribadi.