Ethereum Vakfı Destekli Araştırma: Kuzey Koreli Operatörler Web3 Şirketlerine Sızdı

Ethereum Vakfı tarafından desteklenen altı aylık bir soruşturma, Kuzey Koreli operatörlerin sahte kimlikler kullanarak düzinelerce Web3 ekibine sızdığını ortaya çıkardı. Soruşturma, 100'den fazla Kuzey Koreli çalışanın kripto şirketlerinde faaliyet gösterdiğini tespit etti.

Ketman Projesi, sahte geliştirici kimliklerini ve şüpheli GitHub etkinliklerini izleyerek 53 kripto ekibini uyardı. Araştırmacılar, bu durumu, Lazarus Grubu'nu içeren büyük çaplı istismarlarla bağlantılı, uzun süredir devam eden Kuzey Kore sızmalarıyla ilişkilendirdi.

Ethereum Vakfı, ETH Rangers girişimi aracılığıyla, kripto şirketleri içinde faaliyet gösteren Demokratik Halk Cumhuriyeti (Kuzey Kore) ile bağlantılı 100 kişiyi belirleyen güvenlik odaklı bir çalışmayı finanse ettiğini belirtti. 2024 sonlarında başlatılan program, bağımsız araştırmacılara yönelik ödenekler aracılığıyla kamu yararına yönelik çalışmaları desteklemek için tasarlandı.

Bu fonlamayı alanlardan biri, Web3 organizasyonları içinde çalışan "sahte geliştiricileri" izlemeye odaklanan Ketman Projesi'ni başlattı. Proje, altı aylık süre içinde, 100 şüpheli Kuzey Koreli BT çalışanını işaretledi ve bilmeden onları istihdam etmiş olabilecek 53 kripto projesiyle iletişime geçti.

Bu bulgular, Kuzey Kore bağlantılı geliştiricilerin, genellikle inandırıcı teknik katkılar ve uydurulmuş profesyonel kimlikler aracılığıyla ekiplere karışarak, kripto endüstrisine yıllardır sızdığına dair artan kanıtları destekliyor.

Araştırmacılar bu operasyonları, son yıllarda meydana gelen en büyük kripto hırsızlıklarından bazılarıyla bağlantılı olan devlet destekli bir oluşum olan Lazarus Grubu'na bağladı. R3ACH analistlerinin tahminlerine göre, 2017'den bu yana çalınan toplam fon miktarı, 625 milyon dolarlık Ronin Bridge istismarı, 235 milyon dolarlık WazirX ihlali ve 1,4 milyar dolarlık Bybit olayı dahil olmak üzere yaklaşık 7 milyar dolar civarında.

Analistler, birçok sızma girişiminin, gelişmiş istismarlardan ziyade, nispeten basit yöntemlere dayandığını belirtiyor. Bağımsız blok zinciri araştırmacısı ZachXBT, bu operasyonların çoğunun "basit ve hiçbir şekilde sofistike olmadığını" belirterek, "tek dikkat çekici şeyin, onların amansızlığı" olduğunu ekledi.

Ketman Projesi'nden elde edilen detaylar, bu operatörlerin geliştirme ekipleri içinde nasıl gizlendiklerini aydınlatıyor. Yaygın göstergeler arasında, birden fazla GitHub hesabında avatar veya profil meta verilerinin yeniden kullanılması, ekran paylaşımı sırasında ilgisiz e-posta adreslerinin istemeden ifşa edilmesi ve iddia edilen uyruklarla çelişen sistem dili ayarlarının kullanılması yer alıyor.

Proje, araştırma çalışmalarının yanı sıra, şüpheli GitHub etkinliğini işaretlemek için tasarlanmış açık kaynaklı bir araç geliştirdi. Ayrıca, Güvenlik İttifakı ile işbirliği içinde, Kuzey Kore bağlantılı BT çalışanlarını belirlemek için bir endüstri çerçevesi oluşturdu.